par | 6 Oct 2020

Ces 4 idées reçues qui exposent les PME aux risques cyber

La crise sanitaire a renforcé la dépendance des entreprises aux outils en ligne avec l’instauration du télétravail notamment, mais elle a aussi fait exploser les cyberattaques au détriment des TPE et PME. Non : les fraudeurs ne ciblent pas exclusivement les grandes groupes ! C’est même tout le contraire…

1. Mon entreprise est trop petite pour intéresser les hackers

Les TPE/PME représentent l’essentiel des sociétés en France : 99,9%. Si les très petites entreprises représentent le gros des troupes (95%), on compte 150 000 PME pour à peine plus de 5000 ETI et moins de 300 grandes entreprises. Certes, des grands groupes comme Total, Carrefour ou Bouygues sont plus alléchants qu’un artisan fleuriste avec des chiffres d’affaires à onze voire douze chiffres, mais ils ont aussi des moyens sans commune mesure en termes de sécurité informatique. Bien qu’ils ne soient pas inviolables, leurs systèmes de protection sont un obstacle pour une majorité de hackers qui se tournent vers des petites structures moins préparées au risque cyber. Des cibles faciles.

« Nous constatons une recrudescence des cyberattaques sur les entreprises de différents secteurs industriels et les cabinets des professions libérales réglementées comme les experts comptables, les avocats et les médecins » observe Régis Rocroy, fondateur d’OZON. « Les premiers se font rançonner, mettant souvent en évidence des failles dans leur système de sauvegarde, tandis que les autres se font voler des informations confidentielles de leurs clients. » Les chiffres de la CPME le confirment : quatre entreprises sur dix de moins de cinquante salariés ont subi une cyberattaque en 2019. Pour un préjudice important : 700 millions d’euros par an pour les PME d’après une étude de l’Institut de recherche technologique SystemX.

Recrudescence des cyberattaques dans l’industrie et les professions libérales

2. Je ne fais de e-commerce donc je ne suis pas exposé

Une attaque informatique visant une PME ne cible pas exclusivement celles dont l’activité se situe en ligne, comme les e-commerçants ou même les sites vitrines. Les messageries professionnelles sont le principal canal utilisé par les hackers, car ils peuvent y exploiter différentes failles :

  • le hameçonnage ou l’envoi d’un email imitant un prestataire ou une institution pour obtenir des identifiants ou des coordonnées bancaires (phishing) ;
  • la fraude par email via l’usurpation d’identité d’un dirigeant pour donner un ordre de transfert de fonds (spear phishing) ;
  • le ransomware consistant à envoyer un lien de téléchargement vers une pièce jointe où se cache un logiciel malveillant chiffrant des sauvegardes de données en ligne pour effectuer une demande de rançon.

Les cyber-risques se situent aussi dans les pratiques des collaborateurs avec leur poste de travail. Installation d’une application non approuvée, téléchargement de fichiers contenant des malwares, connexion à une borne Wi-Fi publique comportant des failles de sécurité, etc. Ces problématiques de cybersécurité ne sont pas l’apanage des professionnels du e-commerce ; tout collaborateur faisant usage d’un terminal numérique comportant un accès à des données sensibles de l’entreprise ouvre une faille potentielle sans dispositif de protection informatique adéquat.

3. La cybersécurité, ça coûte trop cher pour une petite entreprise

Ce n’est pas culturellement installé dans les petites et moyennes entreprises, et lorsqu’on prend conscience de l’importance cruciale de la sécurité informatique il est (souvent) déjà trop tard. C’est en effet lorsqu’une PME est confrontée à une cyberattaque qu’elle intègre le coût de la protection informatique à ses dépenses IT, limitées traditionnellement au matériel et à sa maintenance ainsi qu’aux solutions métier. Il existe toutefois des offres adaptées aux PME comme CyberSolution 360°, dont le coût est nettement moins élevé que celui d’une attaque informatique. C’est en effet la cause d’une faillite à court terme dans une majorité de cas d’après plusieurs études menées par les CCI au niveau local.

« Effectivement, la gestion du risque cyber nécessite un investissement constant, suivant l’évolution des cyber menaces » reconnaît Régis Rocroy. « L’approche traditionnelle de l’industrie cyber n’est pas adaptée à une PME car le marché se compose de plus de 20 méta segments, chaque segment couvrant un profil de risque cyber. Mais depuis quelques années, l’émergence du Cloud et surtout du SaaS rend accessible aux petites et moyennes entreprises des applications et services en ligne offrant une cyberprotection dynamique et non plus statique. Et au-delà, il est indispensable aujourd’hui de pouvoir être accompagné par des experts cyber au jour le jour et en cas de suspicion ou incident de sécurité avéré.

Le SaaS rend la cyberprotection accessible aux PME

4. Je suis protégé car j’ai installé un antivirus sur mon poste de travail

Ils s’appellent Norton, McAfee, Bitdefender ou Kaspersky, ils sont parfois disponibles dans des versions gratuites comme Avast, Avira ou AVG. Les antivirus apportent une première couche de protection contre les programmes malveillants, mais… « Un service anti-spam et un antivirus ne permettent pas de lutter efficacement contre les attaques les plus fréquentes qui ciblent les TPE et les PME » balaie le fondateur d’OZON. « Il est nécessaire d’opter pour des technologies de sécurité plus avancées pour gérer le risque cyber. » Car au-delà de la mise à jour de la base de données des virus, il est par exemple essentiel de s’assurer que chaque poste de travail effectue les mises à jour de sécurité de l’OS sans délai, ce que ne font pas les solutions grand public.

Quant aux utilisateurs de matériel Apple sous macOS ou ceux qui ont la conviction que Microsoft 365 les met à l’abri des cybermenaces, il y a un pas entre les discours et la réalité : « Ces outils intègrent des fonctions et mécanismes de sécurité dont l’efficacité dépend de la capacité à les configurer correctement » explique Régis Rocroy. « Sans compter que la diffusion de ces outils les rend attractifs auprès des groupes de hackers et fraudeurs, qui peuvent y trouver un bon retour sur investissement. Toute technologie informatique comporte des failles de sécurité. »

Pour sortir de l’immunité psychologique, évaluez le niveau d’exposition de votre entreprise aux risques cyber en 3 minutes avec notre outil gratuit CyberCheck PME.

Share This