La cybersécurité pour les TPE/PME : enjeux et solutions

Bonjour, je suis Jean-Jacques Latour du dispositif national de prévention et d’assistance aux victimes Cybermalveillance.gouv.fr. Je vais vous aider à comprendre les risques de cybersécurité et comment vous en défendre.

Que ce soit pour des usages personnels ou professionnels, le numérique occupe aujourd’hui une place majeure, et même souvent incontournable, dans le fonctionnement de notre société.

Ordinateurs, tablettes, smartphones, objets connectés font maintenant partie de notre quotidien pour communiquer, s’informer, s’amuser, acheter, vendre, payer et même faire ses démarches administratives.

Avec la crise sanitaire du COVID cette tendance s’est encore accentuée. Que ce soit pour les particuliers comme pour les entreprises, les communications à distance, le télétravail, et les achats en ligne se sont intensifiés.

Mais cette ultra connexion par internet et la dématérialisation des échanges représentent également un vaste champ d’opportunités pour les cybercriminels.

Le cliché du hacker, adolescent doué et isolé qui cherchait à pirater un réseau informatique depuis sa chambre, juste pour montrer qu’il en était capable, est aujourd’hui quasiment révolu. Maintenant les pirates cherchent principalement à exercer leur activité pour gagner de l’argent, beaucoup d’argent. Pour cela, ils s’organisent sur le « darknet », l’Internet des cybercriminels, où ils se spécialisent et travaillent en équipe pour maximiser leurs profits.

Les cyberattaques et les cyber escroqueries sont en constante progression au fil des ans. Comme le démontre l’actualité, des grandes entreprises aux plus petites, des administrations aux collectivités locales, des hôpitaux aux particuliers en passant par des associations… tous les pans de la société sont quotidiennement victimes et en subissent le préjudice.

Les plus petites entreprises sont particulièrement vulnérables aux cyberattaques. Elles sont souvent peu conscientes des risques et ne prennent donc pas les mesures nécessaires pour s’en protéger. Car elles pensent, à tort, qu’elles sont trop petites et que leur activité ne peut pas intéresser des cybercriminels.

En fait, c’est tout le contraire. Les cybercriminels ont bien compris que toute entreprise, quelle que soit sa taille, a de l’argent à dérober et détient des informations qui peuvent représenter une valeur marchande. Pour eux, les petites entreprises sont plus faciles à pirater, car elles sont moins bien protégées.

Pour une TPE ou PME les conséquences d’une cyberattaque peuvent être très importantes et même parfois désastreuses. Il peut s’agir d’une perte immédiate d’argent suite, par exemple, à une fraude au virement, après une demande de changement de RIB usurpant l’identité d’un fournisseur habituel. Il peut également s’agir d’une perte d’exploitation, suite à une attaque par rançongiciel, ces attaques qui prennent en otage les données de l’entreprise contre une rançon, et qui peuvent mettre une entreprise à l’arrêt durant des jours voire des semaines.

Toute cyberattaque a un coût direct et indirect pour l’entreprise qui en est victime. C’est évidemment le coût non planifié de remise en état du système attaqué, mais c’est également les coûts de reconstitution des informations détruites lorsque c’est possible… comme le fichier clients, les contrats, la facturation ou la comptabilité… sans oublier le coût lié à la perte de confiance des salariés, clients, fournisseurs et même des investisseurs. Cette défiance peut avoir des conséquences sérieuses et durables en termes de chiffre d’affaires ou de développement de l’entreprise.

Suite à une cyberattaque, certaines petites entreprises déjà fragiles financièrement se voient même contraintes de cesser leur activité. De plus, la responsabilité juridique civile et pénale du dirigeant peut même parfois être engagée en cas de manquements à ses obligations de protection de ses systèmes informatiques et des informations à caractère personnel détenues par son entreprise. 

À titre indicatif, les risques maximum encourus sont : 

• une amende jusqu’à 20 M€ ou 4 % du chiffre d’affaires selon le RGPD
• 5 ans de prison et 300 000 € d’amende selon le Code pénal

Mais l’informatique, et a fortiori la cybersécurité, est rarement le cœur de métier des petites et moyennes entreprises, alors par où commencer pour éviter tout ça ?

Pour prendre en compte le risque, la première chose à faire est l’inventaire de ses systèmes numériques (nombre d’utilisateurs, équipements, physiques ou logiques, réseau et ports, réseaux associés, flux applicatifs, version des applications…) et des informations qu’ils permettent d’accéder en répondant aux questions : « Que se passerait-il si ces informations étaient volées ou détruites ? » « Quelles sont les mesures qui sont prises pour l’empêcher ? ». Cet inventaire vous permettra de recenser les systèmes les plus critiques de l’entreprise et leurs lacunes de sécurité pour prioriser les actions à conduire.

Ensuite, assurez-vous que des mesures de cybersécurité élémentaires sont bien respectées, comme l’utilisation de mots de passe différents et complexes propre à chaque service pour éviter que le piratage d’un accès ne permette d’en pirater d’autres.

Assurez-vous aussi que vos données les plus sensibles sont régulièrement sauvegardées et déconnectées de votre réseau, par exemple sur un disque dur externe. Cela évitera qu’elles ne soient détruites en cas d’attaque. Vérifiez également que vos ordinateurs, smartphones, tablettes, serveurs sont bien mis à jour, y compris leurs correctifs de sécurité, et que vous maîtrisez bien les connexions extérieures à votre réseau comme pour le télétravail, la télémaintenance, ou l’interconnexion avec des clients ou fournisseurs… N’ouvrez pas plus d’accès que ce qui est strictement indispensable au bon fonctionnement de votre activité et que ces accès sont suffisamment sécurisés. Plus vous ouvrez de portes, plus vous risquez de voir entrer quelqu’un d’indésirable et de malveillant, a fortiori si les portes sont sécurisées par un simple verrou.

Enfin, faites-vous accompagner par des spécialistes reconnus en cybersécurité : expert en cybersécurité, expert web, expert informatique, expert réseau, expert e-commerce… Comme en médecine, il ne viendrait à l’idée de personne de s’adresser à un cardiologue lorsque l’on a la vue qui baisse. Il en va de même en informatique qui regroupe de nombreuses spécialités différentes. Un prestataire spécialisé en cybersécurité peut vous aider à construire votre plan d’actions et en suivre la mise en œuvre. Il pourra intervenir en appui de votre service informatique et de vos prestataires d’infogérance si vous en disposez. Il pourra même vous apporter ses compétences spécifiques en cas d’attaque pour vous aider à en limiter les effets. 

Mais où trouver ce type de prestataire et comment s’assurer qu’il est vraiment compétent ?

C’est pour répondre à cette question que Cybermalveillance.gouv.fr a créé avec l’AFNOR (Association française de normalisation) et des organisations professionnelles le label ExpertCyber. Ce label atteste des compétences et de la qualité de service de prestataires spécialisés au profit des TPE et PME.

Pour trouver un prestataire ExpertCyber pour vous accompagner, rendez-vous sur le site Cybermalveillance.gouv.fr. Après avoir décrit succinctement votre besoin, le site vous proposera des professionnels labellisés, proches de chez vous et en capacité de répondre à vos attentes.

Vous y trouverez également de nombreuses ressources sur les bonnes pratiques de cybersécurité, les principales menaces et les moyens de s’en protéger ou d’y faire face. 

Si les cybercriminels sont ingénieux et compétents, sachez qu’ils sont aussi pressés de gagner de l’argent le plus vite possible avec le moins d’effort possible. Si vous attaquer leur demande trop de temps et de moyens au regard du bénéfice qu’ils peuvent en espérer, ils passeront leur route et chercheront une victime plus facile. Les coûts engagés pour obtenir votre juste niveau de sécurisation seront toujours bien inférieurs au coût que pourra représenter une cyberattaque pour votre entreprise. Alors maintenant à vous de jouer…