par | 25 Août 2020

Cybersécurité : pourquoi la vulnérabilité des PME est-elle plus élevée ?

Six entreprises sur dix victimes de cyberattaques sont des PME d’après une étude Verizon datée de 2016. Et six PME/PMI françaises sur dix ayant été la cible d’une attaque informatique malveillante ont été contraintes de déposer le bilan cette même année selon une enquête de la CCI. Les petites et moyennes entreprises ne sont pas moins exposées que les grandes aux risques cyber. Pire : elles constituent une cible de choix en raison de leur plus grande vulnérabilité. On vous explique pourquoi.

1. Un défaut de politique de cybersécurité en interne

Les entreprises de moins de 50 salariés ne passent pas sous les radars des hackers et des fraudeurs. La CPME indiquait en 2019 que quatre PME sur dix de ce type avaient déjà subi au moins une cyberattaque en France. Si les trois quarts affirment sensibiliser leurs salariés aux risques informatiques – 44% seulement tous les ans –, moins de quatre sur dix ont nommé un référent interne en charge de la sécurité informatique. La même proportion – c’est-à-dire une minorité – dispose d’une cyberprotection comprenant un antivirus, un firewall et une solution antispam.

Comment leur en vouloir ? «Les PME de moins de 50 salariés disposent rarement d’une direction informatique» souligne Régis Rocroy, fondateur d’Ozon. «Il suffit qu’un collaborateur désactive la protection sur son poste de travail, ou n’effectue pas une mise à jour de sécurité pour ne pas le retarder dans son activité, et c’est tout le système de l’entreprise qui fait l’objet d’une vulnérabilité informatique

Les solutions antivirus et antispam déployées dans les PME ne couvrent que rarement toutes les typologies d’attaques

2. Des solutions de cyberprotection inadaptées

Phising, malware et ransomware constituent le trio de tête des cyberattaques visant les PME d’après la CPME. Ces méthodes de cyberfraude présentent en effet un retour sur investissement élevé pour les pirates informatiques, qui n’ont pas besoin de mettre à contribution leur savoir-faire en matière d’exploitation des failles de sécurité des sites internet pour dérober des informations bancaires ou réclamer des rançons. Car face à cette cybermenace, les PME sont moins bien outillées que les ETI et les grands groupes du CAC 40 : les solutions antivirus et antispam déployées dans ces entreprises ne couvrent que rarement toutes les typologies d’attaques, quand elles ne souffrent pas d’une configuration incomplète.

«La cyberprotection doit faire intervenir des technologies, mais aussi de l’expertise et des processus» estime Régis Rocroy. «Les solutions du marché sont trop fragmentées et les PME n’ont pas les moyens de gérer en interne le risque cyber, car cela nécessite un investissement continu pour suivre l’évolution du paysage des cybermenaces.»

3. Des conséquences économiques immédiates

L’autre grande différence entre PME et ETI en termes de vulnérabilité aux cyberattaques, c’est leur capacité à s’en relever. Si une grande entreprise va être en mesure de couvrir les pertes financières en raison de son poids et du soutien des banques, une PME est plus fragile. Le blocage informatique de l’activité va accentuer la pression sur sa trésorerie et l’exposer à un risque élevé de défaillance, d’autant plus dans un contexte économique tendu. Souvent, l’attaque informatique est la goutte d’eau qui vient achever une entreprise en difficulté et conduire à son dépôt de bilan.

Seules 17% des entreprises de moins de 50 salariés étaient assurées contre les cyberattaques en 2019 d’après la CPME. «Notre solution de cybersécurité pour les PME associe des services d’assurance cyber avec Swiss Re» précise le fondateur d’Ozon. «Ils couvrent notamment la gestion des incidents cyber dont la perte de revenus.»

Une PME soucieuse de préserver ses données aura tout intérêt à privilégier un environnement informatique européen

4. Une exposition au risque de souveraineté

La cybermenace peut prendre plusieurs formes ; l’espionnage d’État en est une et elle ne se limite pas là aussi aux entités publiques et aux grandes entreprises. Les données hébergées par une PME via un service de stockage américain comme ceux des GAFAM sont soumis au Patriot Act et au Cloud Act. Ces dispositifs légaux autorisent l’État américain à consulter les informations confidentielles des entreprises même si le serveur se situe en dehors des USA ! Huawei et Kaspersky sont par ailleurs régulièrement accusés d’espionnage pour le compte de la Chine et de la Russie… Une PME soucieuse de préserver ses données aura tout intérêt à privilégier un environnement informatique européen soumis au RGPD.

La cybersolution d’Ozon à destination des PME utilise des technologies européennes avec F-Secure (antivirus finlandais) et Vade Secure (antispam français). Elle offre une protection globale face aux cybermenaces grâce à un management automatisé du risque cyber mis à jour en temps réel. Testez dès maintenant la vulnérabilité de votre entreprise grâce au CyberCheck PME !

Share This