Les PME sont-elles de plus en plus touchées par la cybercriminalité, et pourquoi ?
Les cyberattaques, longtemps réservées aux grands comptes, se développent en effet de plus en plus dans les TPE et PME. Les cybercriminels sont de plus en plus nombreux, s’organisent et se professionnalisent. Les TPE et PME sont pour eux des cibles plus faciles car elles n’ont ni les moyens ni les pratiques des grands comptes en termes de cyberprotection. De plus, attaquer les TPE et PME est aussi un moyen d’atteindre les grandes entreprises, car les premières sont les clientes ou les fournisseurs des secondes. Les PME exportent et ont donc également des liens avec l’extérieur. Enfin, une autre raison de cette progression est que les PME représentent un gisement d’innovation, de recherche et développement, et donc un potentiel économique important.
Quels types de menaces cybercriminelles touchent les PME aujourd’hui ?
Nous avons mené un sondage auprès d’adhérents de la CGPME sur cette thématique en juin 2015. Un tiers des entreprises interrogées indiquent avoir été victimes d’un acte de cybermalveillance. Les TPE sont les plus vulnérables, 49 % d’entre elles ont connu un piratage informatique, et les PME des services et de l’industrie sont parmi les plus concernées. Les serveurs, les messageries et les sites Internet sont les plus touchés par le piratage et l’envoi de liens malveillants destinés à s’introduire dans les systèmes pour capter des données.
Très peu de TPE et PME portent plainte en cas de cyberattaque, seulement une entreprise sur cinq qui a été attaquée déclare avoir déposé plainte, selon cette enquête. Avoir été la cible d’une cyberattaque pose un problème d’image, de réputation, vis-à-vis des fournisseurs et des clients. Et les petites entreprises ne savent pas forcément à qui s’adresser en cas d’attaque. L’objectif de ces cyberattaques est le vol d’informations, de données ou d’argent. Or l’arnaque au faux virement (fovi) est plus facile à mener en direction des PME, car elles n’ont pas toujours de double signature ou de process très industriel pour leurs paiements.
La cybersécurité est un enjeu de survie, car certaines PME ont mis la clé sous la porte à la suite d’une attaque. Les PME sont moins confirmées dans la prévention de ces risques que les grandes entreprises. Or le comportement humain est le premier facteur de risques, comme on le voit avec la fraude au président ou l’arnaque au faux virement. Dans le guide des bonnes pratiques de l’informatique élaboré avec l’ANSSI et paru en mars 2015 (voir Encadré), nous avons voulu mettre l’accent sur ce facteur humain.
Que propose ce guide, et quelles sont les autres actions de prévention menées par la CGPME ?
Le « guide des bonnes pratiques de l’informatique » publié par la CGPME et l’ANSSI propose douze règles simples et essentielles pour la sécurité des systèmes d’information des PME à destination des non spécialistes. Il part du constat que le premier risque, c’est l’humain, et est issu de l’analyse d’attaques réussies et de leurs causes. Nous le diffusons le plus largement possible, à travers les branches professionnelles notamment. Il est diffusé sur les sites Internet de la CGPME et de l’ANSSI et a été rapidement téléchargé plus de 80 000 fois.
Nous animons par ailleurs des ateliers de sensibilisation et d’information sur le sujet de la cybercriminalité, et des ateliers d’éducation au numérique. Nous avons organisé un colloque le 18 novembre 2015 dernier, et nous participons au Forum international de la sécurité (FIC) qui vient de se tenir fin janvier 2016 à Lille et qui, du fait du développement des cyberattaques, prend de l’ampleur.
Enfin, la CGPME souhaite qu’un interlocuteur unique et une procédure d’alerte unique en cas de cyberattaque pour les TPE et PME soient mis en place. Les choses devraient avancer en 2016 sur ces sujets.
Il y a une prise de conscience grandissante aujourd’hui de la part des TPE-PME de la nécessité de se protéger contre les cyberattaques. Mais elles n’ont pas forcément les moyens de consacrer un budget suffisant à la cybersécurité. L’offre évolue cependant petit à petit de la part des éditeurs pour s’adapter aux TPE et PME. Il y a d’ailleurs des TPE-PME spécialisées dans ces offres. Nous regardons notamment les offres en matière de cloud, car les entreprises font de plus en plus appel à des solutions cloud.
Qui s’occupe de la prévention et de la cybersécurité dans les TPE et PME ?
Il n’y a pas de responsable de la sécurité des systèmes d’information (RSSI) dans les petites entreprises, et souvent pas de responsable informatique, ni même d’équipe IT, encore moins formée à la sécurité. C’est souvent le dirigeant qui joue ce rôle, alors que ce n’est pas son métier.
Que font les entreprises pour se protéger face aux cybermenaces, et en cas d’attaque ?
Aujourd’hui, le niveau de prise de conscience des risques évolue. Les entreprises cherchent des offres de cybersécurité adaptées à leur situation et à leurs besoins.
C’est complexe, car le délai de détection d’une attaque est très long : il peut dépasser les 200 jours. Et les PME ne savent pas forcément à qui s’adresser en cas d’attaque, c’est pourquoi la CGPME insiste sur la nécessité d’un interlocuteur unique. Selon notre enquête parue en juin 2015, les PME s’adressent à la gendarmerie, à la police judiciaire ou municipale, au procureur de la république, à la préfecture, à l’ANSSI, au Centre opérationnel de la sécurité des systèmes d’information (COSSI), au CERT (Computer Emergency Response Team)… Quelques-unes s’adressent à leur fournisseur d’accès Internet, leur assurance ou leur banque.
Quelles relations entretiennent les PME avec leurs banques au sujet de la cybersécurité ?
Les banques peuvent jouer un jeu de sensibilisation à ces risques, voire de conseil.
