Les petites et moyennes entreprises doivent aujourd’hui naviguer entre la nécessité d’une transformation numérique rapide et le défi de sécuriser leurs infrastructures contre des attaques de plus en plus complexes. Voici quelques étapes clés pour aider ces PME à renforcer leur cybersécurité…
Dans un monde où la donnée s’est imposée comme l’or du 21ème siècle, sa protection est devenue une priorité cruciale pour toutes les entreprises, des multinationales aux plus petites structures. La récente inauguration du Datacenter géant de la Courneuve, le Paris Digital Park, souligne l’importance de cette ressource. Ce centre de données de pointe qui joue un rôle clé pendant les Jeux Olympiques de Paris 2024, permettant à des milliards de spectateurs de suivre en direct la finale du 100 mètres notamment, se fait l’écho d’une prouesse technologique certes mais cache aussi un enjeu majeur : la sécurisation des données. Le Comité des Jeux Olympiques a par ailleurs investi dans un pôle dédié à la collecte et à l’exploitation des données des fans, spectateurs et visiteurs. La donnée est aujourd’hui omniprésente, que ce soit dans les secteurs des médias, de la santé, de l’énergie, ou encore du transport et de la finance. Cependant, plus les données se font précieuses, plus elles attirent les cybercriminels. Les cyberattaques qui ont touché cet été Microsoft 365 et Azure, causant des pannes mondiales dans des secteurs critiques tels que l’aviation et les banques, en sont une illustration flagrante.
Les entreprises sont largement conscientes des enjeux de la cybersécurité, comme on a pu le voir avec le souhait de Google de racheter Wizz, la startup spécialisée dans la cybersécurité pour le Cloud. Plus local, en Bretagne, Vannes va se doter d’un campus universitaire consacré aux sciences des données et à la cybersécurité, prévu pour 2025. Si tous les acteurs de l’économie sont concernés par le numérique, les TPE/PME apparaissent comme plus fragiles – elles étaient la cible de 60% des cyberattaques en France en 2023 déjà selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Et tandis que les projets de transformation digitale continuent avec l’adoption du cloud et de l’IA notamment, les outils data et BI aussi, les inquiétudes des dirigeants quant à la sécurité des données ont tout lieu d’être.
Cybersécurité : Quelles menaces et quels enjeux pour les PME ?
Aujourd’hui, les petites et moyennes entreprises (PME) sont plus vulnérables que jamais aux cyberattaques. Contrairement aux grandes entreprises, elles disposent souvent de ressources limitées, sur le plan financier comme sur le plan humain, pour investir dans des mesures de sécurité robustes. Leurs infrastructures sont généralement moins sécurisées, et par manque de personnel dédié à la cybersécurité elles sont de fait plus exposées. Selon le rapport de l’Observatoire de la maturité Data des entreprises (OMDE) 2023, 23% des dirigeants se disaient concernés par le stockage et la sécurité des données, une part qui ne devrait cesser de croître à l’avenir tant les enjeux sont importants. Ce sont même 48% des TPE/PME qui affichaient des craintes face aux sujets de cybersécurité selon le baromètre France Num 2023.
La sécurisation des données est d’autant plus cruciale aujourd’hui alors que les conséquences d’une cyberattaque peuvent être désastreuses pour une PME, voire fatales. Selon l’ANSSI, le risque de défaillance d’une entreprise augmente de 50 % dans les six mois suivant un incident cyber. Et les PME sont nombreuses à déposer le bilan dans les six à dix-huit mois suivant une cyberattaque, preuve s’il en est de l’importance de la menace pour la viabilité de toute l’entreprise. A noter que les dangers encourus par les sociétés privées comme publiques le sont aussi par leurs clients ou partenaires qui peuvent être directement impactés, ajoutant ainsi une responsabilité de l’entreprise envers ses tiers dont elle se doit de garder les données en lieu sûr et hors de portée des hackers.
Parmi les menaces les plus courantes, on trouve le piratage de comptes, le hameçonnage (ou phishing), les attaques par rançongiciel (ou ransomware), les logiciels malveillants (Malwares), les fraudes aux virements, et les violations de données (Data breaches) ou encore les attaques contre les sites Internet des professionnels, le cyberespionnage, le piratage de compte de réseaux sociaux, les attaques par déni de service (DoS) et déni de service distribué (DDoS) – qui visent à rendre un service ou un site web indisponible en le submergeant de trafic ou de requêtes… Avec l’avènement de l’IAgen, les cyberattaques gagnent en sophistication. On pense notamment aux Deepfakes qui inondent la toile et vont jusqu’à influencer les résultats d’une élection, aux algorithmes de phishing automatisés aussi. Autant d’options nouvelles qui augmentent encore la tâche de détection et prévention pour les entreprises.
Enfin, les menaces peuvent venir de l’interne, là où on les attend souvent le moins, notamment des employés actuels ou anciens, des partenaires, des sous-traitants etc. Un employé peut sans le vouloir compromettre la sécurité d’une compagnie en divulguant des informations confidentielles, en cliquant sur un lien frauduleux qui semble fiable…
Si les dirigeants de PME sont de plus en plus conscients des risques, la peur de l’insuffisance des mesures de protection demeure. Les menaces en cybersécurité sont variées et de plus en plus complexes, souvent perçues comme très onéreuses voire simplement hors de portée.
Des solutions concrètes et accessibles pour les PME
Face aux menaces, des solutions existent pour aider les PME à renforcer leur cybersécurité. Les entreprises et les individus doivent rester vigilants et peuvent adopter des mesures de protection proactives, à l’instar de la formation à la cybersécurité, l’utilisation de technologies de protection avancées, voire le développement de plans de réponse aux incidents pour atténuer les risques. A l’échelle nationale, le programme « Cyber PME », intégré au plan France 2030, a été créé pour améliorer les compétences en cybersécurité des PME et ETI. Ce programme, doté de 12,5 millions d’euros, alerte sur les conséquences potentiellement dévastatrices des cyberattaques pour les entreprises et leurs fournisseurs et visent à apporter les clés aux décideurs pour les outiller au mieux. Voici quelques étapes clés pour se prémunir contre les cyberattaques aujourd’hui.
>> Sensibilisation et formation : Le facteur humain reste souvent le maillon faible de la sécurité numérique. Il est aujourd’hui essentiel de savoir former ses collaborateurs aux bonnes pratiques de cybersécurité. Notamment via l’adoption d’un guide de bonnes pratiques à suivre pendant le télétravail par exemple. Celui-ci inclurait notamment l’identification d’emails de phishing, le repérage et le signalement d’activités suspectes, ainsi que l’adoption de mots de passe complexes, l’activation du Multi-factor authentication (MFA) pour les applications qui le permettent, une mise à jour régulière des outils informatiques mis à disposition par l’entreprise…
>> Outils de protection : Chaque PME devrait disposer d’un minimum de protection, incluant un antivirus, un pare-feu bien configuré, et la mise à jour régulière de ses outils. Séparer les usages professionnels et personnels sur les appareils est également crucial pour limiter les risques.
>> Plan de Continuité d’Activité (PCA) ou Plan de Reprise d’Activité (PRA) : En cas de cyberattaque, il est essentiel de savoir qui fait quoi et quelles sont les étapes à suivre pour pouvoir minimiser les dommages. Désigner un référent cybersécurité, qui peut être formé par des organismes comme l’ANSSI par exemple, est un must. Organiser des simulations régulières compte aussi parmi les étapes clés pour une gestion efficace des crises. Enfin, l’entreprise devrait réévaluer sa politique de cybersécurité à fréquence régulière. Les menaces changent et évoluent rapidement.
>> Surveillance et gestion des accès : Dans l’utilisation d’outils de Business Intelligence (BI) par exemple, il est crucial de monitorer la gestion des droits d’accès pour là encore limiter les risques. Des règles de sécurité strictes doivent être appliquées, que les données soient hébergées en interne ou en Saas. Reste que l’éditeur de BI se doit lui aussi de garantir une protection et une gouvernance complètes des données.
S’il est impossible de se prémunir totalement contre les menaces cyber, la mise en place de bonnes pratiques et de mesures préventives permet toutefois de réduire significativement les risques et d’en limiter les impacts. Le respect des régulations en matière de protection des données, comme l’obligation de dématérialisation de la facturation à partir de 2026, qui concerne également les PME, comptent aussi parmi les mesures de sécurisation adaptées à adopter. La digitalisation dans ce cas précis est aussi justifiée par un besoin de sécurisation des données. Transformation digitale et sécurisation des données, dont nous dépendons tous aujourd’hui, vont de pair.
Et les aides existent aujourd’hui en France, qu’elles soient d’origine étatique ou locale, sous forme de financements ou de formations. Il est donc crucial pour les PME de s’outiller et de suivre les bonnes pratiques pour tirer le meilleur parti de la donnée, tout en se protégeant efficacement contre les risques cyber.
_____________________________
Par Daniel Pereira, Directeur des systèmes d’information chez MyReport