Un secteur se porte malheureusement très bien en France, celui de la cybercriminalité. En 2024, dans un contexte économique et géopolitique tendu, les phishings, attaques par déni de service (DDos) ou autres violations de données ont augmenté de 30 % . Aucun secteur n’est épargné : la santé (Viamédis-Amerys), le social (CAF, France Travail) ou le commerce (LDLC)… Des cyberattaques lucratives sont lancées chaque jour de façon massive, automatique et aléatoire. Les cas médiatiques ne doivent pas occulter le ciblage de plus petites entités ; les données personnelles des clients du Slip Français® (120 salariés en 2021) ont été dérobées le 15 avril 2024 . Ib Cegos fait le point sur les stratégies de protection et les mesures préventives face aux menaces de la cybercriminalité sur nos PME.
Cyberattaque dans les PME : l’assurance de multiples impacts dévastateurs
Le dirigeant d’une PME ne doit plus douter aujourd’hui : il subira une cyberattaque. L’ANSSI (agence nationale de la sécurité des systèmes d’information) signale que 34 % des attaques par rançongiciel survenues en 2023 lui sont rapportées par des petites ou moyennes entreprises[1]. Trop souvent sous-estimée, la sécurité informatique doit impérativement faire l’objet d’une attention à la hauteur des multiples enjeux. La perte totale ou partielle d’activité constitue le premier risque majeur. Un déficit d’image et de notoriété peut entraîner une érosion de la confiance des clients, voire de lourds problèmes juridiques. Des fuites de données techniques privent d’avantages industriels. L’impact économique global d’une cyberattaque relativise les investissements dans la sécurisation de l’entreprise.
Entreprise et cybersécurité : une stratégie de protection active et collective
Dans cette guerre incessante, la cybersécurité s’envisage en termes stratégiques. Les infrastructures et les personnels prennent place au sein d’un environnement interconnecté, ouvert à tous les dangers. L’identification des risques spécifiques à l’entreprise précède la rédaction d’une politique de sécurisation du SI (PSSI), répertoriant l’ensemble des actions préventives à mettre en œuvre. Ces règles, écrites et largement diffusées, régissent les activités critiques de tout le personnel, comme des prestataires et des fournisseurs. Une équipe « cybersécurité informatique » est nommée pour évaluer cette politique et la décliner au niveau opérationnel. Elle contrôle en permanence l’applicabilité des solutions défensives décidées avec les directions. Elle vérifie aussi la légitimité juridique, la cohérence et surtout l’accompagnement des effectifs. Des sensibilisations générales sont organisées et complétées de formations avancées pour les salariés les plus directement concernés. Enfin, dernier pilier de la cybersécurité, un plan de reprise d’activité est défini puis testé régulièrement ; il permet de limiter les pertes d’exploitation en cas d’incident majeur.
Des mesures de prévention structurées en trois axes de défense
Puisque les méthodes d’attaques sont nombreuses et évolutives, les mesures de protection doivent varier et s’adapter aux « menaces cybersécurité » du moment. Une veille sécuritaire active permet de faire face aux risques logiciels, physiques ou humains.
Un risque logiciel à deux visages
Les possibilités d’intrusion par ingénierie logicielle prennent deux aspects. Le plus répandu dans les esprits est l’ensemble des virus, trojans et autres ransomwares qui parcourent Internet à la recherche d’hôtes trop accueillants. La riposte paraît simple : les antivirus, pare-feux et dispositifs capables de détecter tout comportement anormal sur les réseaux. Cependant, leur efficacité nécessite une veille constante et une gestion des mises à jour réactive. Un second aspect échappe bien souvent à la vigilance des dirigeants de PME : les failles de conception des applications web. Elles peuvent, en l’absence d’un développement sécurisé, ouvrir des portes dérobées vers des ressources convoitées.
Un contrôle strict de tous les accès
« Contrôler les accès » évoque le minimum vital : la complexité des mots de passe. Cette évidence s’installe dans les pratiques, car les cyberattaques de type « force brute », automatisant les tentatives de validation, progressent en efficacité. La confirmation physique, par biométrie ou téléphone portable, constitue une parade efficace. Mais combien de doubles authentifications sont en place dans les PME ? Comment sont sécurisés les accès applicatifs ? C’est au RSSI et à son équipe de répondre à ces questions et de mettre en œuvre une sécurisation globale de tous les accès. Car à quoi bon sécuriser l’informatique si toutes les portes de l’entreprise restent grandes ouvertes aux beaux jours…
Et cet incontournable facteur humain
La dernière source de risque, et non des moindres, est humaine. En 2023, 74 % des cyberattaques subies par les entreprises françaises provenaient d’un phishing[2]. La cybercriminalité s’appuie majoritairement sur la crédulité et le manque de connaissances des salariés pour s’infiltrer. L’éducation reste la meilleure des préventions. Le personnel doit être régulièrement sensibilisé et formé aux bons réflexes devant l’ingéniosité malfaisante et sans cesse renouvelée des cybercriminels.
Les évolutions ne manquent pas dans notre société communicante : virtualisation, cloud, SaaS ou nomadisme offrent autant d’opportunités aux PME que de failles aux hackers. Tous les acteurs de l’entreprise doivent prendre une part active dans une stratégie volontaire de cybersécurité informatique. La formation reste la meilleure des préventions et ib Cegos assiste les effectifs de toutes les structures dans leur combat sans fin contre la cybercriminalité.
[1] : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2024-CTI-001.pdf
[2] : https://www.sfrbusiness.fr/room/securite/erreur-humaine-piratage-entreprise.html
