A l’ère du télétravail, l’ensemble des acteurs économiques s’engage dans une transformation numérique de grande ampleur, qui doit composer avec l’expansion de la cybercriminalité… Mais lorsqu’on est à la tête d’une TPE ou d’une PME, comment se préparer au risque d’attaque ?

En quelques années, les méthodes et les objectifs des cyber-attaques ont beaucoup évolué. Plus besoin d’être un expert informatique chevronné pour lancer une attaque : désormais, de nombreuses informations sont accessibles pour les inter-nautes malveillants, sur le Dark Web. Et les Grandes Entreprises ne sont plus les cibles préférées des groupes d’attaquants. Les PME, voire les TPE, les collectivités locales ou encore les hôpitaux sont également visés. Quelques explications pour mieux comprendre ce phénomène, et s’en prémunir…

La transformation numérique, un virage obligatoire pour toutes les entreprises

Elle fait souffler un vent de modernité sur l’interaction entre les entreprises et leurs clients, leurs partenaires et leurs fournisseurs, dans une volonté de simplification et d’efficacité accrues.

 

Le système d’information (S.I.) derrière les dispositifs numériques qui la rende possible est en première ligne de ce bouleversement. Il doit devenir plus agile, plus ouvert vers le monde extérieur, sans pour autant compromettre la sécurité des données qu’il traite.

 

Et cette mutation touche l’ensemble des acteurs économiques, y compris les PME, voire même les TPE, également dans l’obligation d’offrir une qualité de service modernisée à leurs clients.

 

Selon le Baromètre FRANCE NUM 2021 : Le Numérique dans les TPE et PME [1] :

 

  • 66 % des entreprises interrogées ont un site Internet présentant leur activité, hors réseaux sociaux, alors qu’elles n’étaient 37 % avant la crise.
  • 27% d’entre elles disposent d’au moins une solution de vente en ligne, qui représente 18% de leur chiffre d’affaires.

2 aspects indissociables – et à suivre de près - de la transformation numérique des entreprises

Pour une PME, amorcer une transformation numérique nécessite d’abord de déployer de nouvelles applications, mobiles, web, souvent plus ergonomiques. Ces évolutions peuvent conduire à ajouter ou remplacer certains équipements informatiques, qui ne seraient pas forcément compatibles avec ces nouvelles applications.

Mais c’est également la transformation de la culture de l’entreprise qui permet que les évolutions technologiques impulsent de nouvelles façons de travailler, et d’interagir avec les clients.

Et si les PME s’engagent dans le numérique, ce n’est pas sans crainte. Comme le rappelle le baromètre France Num 2021, 44 % des chefs d’entreprise interrogés ont peur de perdre ou de se faire pirater des données quand elles utilisent le numérique.

Avec le déploiement massif du télétravail depuis mars 2020, les S.I. des PME se sont ouverts pour permettre aux collaborateurs un accès distant depuis leur domicile. Dans certains cas, la précipitation n’a pas permis de déployer les mécanismes de sécurité nécessaires sur les postes de travail distants.

Cybersécurité des entreprise et télétravail : plus de la moitié des entreprises concernées

Pour les cyberattaquants, le télétravail a multiplié les « surfaces » d’attaques potentielles, c’est-à-dire les sources de vulnérabilité numérique. Cela se vérifie notamment chez les PME, supposées disposer d’un S.I. moins sécurisé que ceux d’entreprises de taille plus importantes, dotées de moyens financiers et humains supérieurs.

Dans la 7e édition de son Baromètre de la cyber-sécurité des entreprises, publié en janvier 2022, le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) déclare que 53% des 282 organisations répondantes ont constaté au moins une cyber-attaque pendant l’année 2021. Les 3 types d’attaque les plus courants sont :

  • l’hameçonnage (ou phishing) pour 73% des répondants,
  • l’exploitation des failles de sécurité (53%),
  • l’arnaque dite « au Président » (38%).


->Pour mieux comprendre, découvrez le glossaire dédié à la cybercriminalité, mis à disposition de tous par l’ANSSI


Notons que deux de ces attaques ciblent directement le personnel de l’entreprise, soit en passant par la messagerie, soit par le téléphone.

Si les mails de phishing étaient assez facilement détectables il y a encore 2 ou 3 ans (fautes d’orthographe ou de grammaire, adresses mail suspectes…), il faut reconnaître que les attaquants ont fait d’énormes progrès, et qu’il est de plus en plus difficile de discerner un mail malicieux.

Il est donc primordial de sensibiliser les collaborateurs à redoubler de prudence avant de cliquer sur un lien web dans un mail, ou sur une pièce jointe !


Dans l’arnaque au Président, c’est en manipulant leurs interlocuteurs par téléphone, en leur demandant de l’aide pour contacter un dirigeant, ou effectuer un soi-disant virement, que les attaquants arrivent à leur fin.

Selon le baromètre du CESIN, 61% des entreprises ayant subi une attaque ont vu leur activité directement impactée, principalement par :

  • une perturbation de leur S.I. pendant une période significative (21%),
  • une compromission d’information (14%),
  • ou une indisponibilité de leur site web (14%).    

Les leviers d’action : la sécurité des données et le RGPD

Les PME doivent porter une grande attention aux moyens de sécuriser leurs données

  1. Une des premières mesures à prendre est de renforcer ses politiques de sauvegardes. Trois sauvegardes semblent nécessaires : une sur le site de l’entreprise, l’autre chez un fournisseur de services cloud, et la troisième sauvegarde sur un support non-accessible en ligne, comme des bandes magnétiques.
    En cas d’attaque de rançongiciel, le cyber-criminel cherchera à chiffrer tous les fichiers auxquels il pourra accéder, y compris vos sauvegardes lorsqu’elles sont en ligne. Avec des back-up hors-ligne, vous pourrez reconstituer vos données depuis la dernière sauvegarde, avant l’arrivée du virus.
  2. Le chiffrement de vos données est également une initiative salutaire car elle rendra vos données inexploitables par les attaquants, et donc invendables sur le Dark Web !
  3. La conformité de votre entreprise au Règlement Général sur la Protection des Données (RGPD) évitera que des données à caractère personnel concernant vos clients – ou vos collaborateurs - ne se retrouvent entre de mauvaises mains.

Quel coût pour la prévention des cyberattaques ?

Selon l’adage, la sécurité n’a pas de prix… mais elle a un coût, qui peut se révéler important si le Système d’Information de votre société n’est pas « étanche », ou si vos logiciels ont plusieurs versions de retard.

D’autres coûts - de sensibilisation et de formation de vos collaborateurs, souvent en première ligne des attaques cyber – doivent aussi être pris en compte, et restent nécessaires.

Pour vous poser les bonnes questions, vous pouvez consulter le recueil « La Cybersécurité pour les TPE/PME en 12 questions » [2] publié par l’ANSSI, avec le soutien du dispositif cybermalveillance.gouv.fr.

Le triangle sécuritaire : technologie, processus et collaborateurs

La démarche qui conduit une PME à renforcer la sécurité de son S.I. ne peut pas reposer sur la seule mise en œuvre de technologies. Elle inclut :

L’exploitation d’anti-virus, des pares-feux ;

Le déploiement de correctifs de sécurité proposés par les éditeurs de logiciel ;

L’automatisation des sauvegardes ;

La limitation de certains accès à des comptes détenteurs de privilèges.


Enfin, rappelons que l’efficacité de la technologie et des processus n’est rien sans l’implication de chaque collaborateur de l’entreprise. On parle bien-sûr des équipes informatiques qui sont en première ligne de la sécurité du S.I., mais également de tous les autres collaborateurs, pouvant être la cible de tentatives d’hameçonnage, de rançongiciel, ou d’arnaque au président.

Conseils pratiques et assistance en cas de cyber-attaques d’une entreprise

De nombreuses sociétés spécialisées dans la sécurité informatique peuvent vous proposer leurs services, et préparer un plan de mise en œuvre adapté au contexte de chaque TPE ou PME.

Pour y voir plus clair, consultez la plateforme cybermalveillance.gouv.fr. En cas d’attaque, vous y trouvez des solutions pour vous aider à la qualifier, et résoudre le problème que vous rencontrez. Vous pourrez également y signaler une escroquerie en ligne, ou déposer une plainte suite à un acte de cyber-malveillance.

Sources

[1] https://www.francenum.gouv.fr/comprendre-le-numerique/barometre-france-num-2021-le-numerique-dans-les-tpe-pme-0-249-salaries

[2] https://www.ssi.gouv.fr/guide/la-cybersecurite-pour-les-tpepme-en-douze-questions/

Lire la suite