Votre PME a sans aucun doute déjà été attaquée, même si vous ne vous en êtes pas aperçu. Peut-être est-elle en ce moment ciblée par une cyberattaque. Elle le sera très probablement de nouveau dans l’avenir… La conjugaison de la cybersécurité se décline à tous les temps sauf au conditionnel. Cessez donc de reporter à demain des mesures de protection qui auraient dû déjà être mises en place depuis hier…

Toute PME sera (ou a déjà été) victime d’une cyberattaque.

Les psychologues affirment que notre caractère peut influer sur notre rapport au temps et nos choix de conjugaisons. Par exemple, les personnes mélancoliques sont davantage tournées vers le passé.

Si l’on considère les dirigeants de PME, leur temps de conjugaison favori est le futur. Obligés de faire des projections dans l’avenir qui valident la pertinence de leurs différents investissements, ils pensent et agissent en fonction du futur. Pour cela, ils ont aussi besoin d’un autre temps : le présent. Ils naviguent ainsi entre ce qui est et ce qui sera, en espérant qu’entre les deux il y aura de la création de valeur, donc du profit.

Pourtant, dès qu’il est question de cybersécurité, ils commettent une faute de jugement en utilisant le conditionnel : « Ça pourrait peut-être m’arriver », pensent-ils. C’est une grave erreur d’autant que les actions des cybercriminels doivent au contraire être envisagées à tous les temps, sauf au conditionnel. Une cyberattaque en direction de votre entreprise (même petite) a été, est, et sera, c’est aujourd’hui une certitude. Personne n’y a échappé, personne n’y échappe, personne n’y échappera.

Responsables de PME, si vous voulez vous protéger efficacement contre un danger désormais omniprésent, il faut donc renoncer au conditionnel pour adopter tous les autres temps.

Le hacking, une réalité autant qu’une certitude

Les professionnels de la sécurité s’accordent à dire que les mesures de sécurité traditionnelles ont perdu en efficacité. Preuve en est, d’après l’enquête de la CPME (Confédération des Petites et Moyennes Entreprises) sur la cybersécurité des TPE et PME du 22 janvier 2019, 41% des entreprises de 0 à 9 salariés et 44% des entreprises de 9 à 49 salariés ont déjà subi une cyberattaque. Comme le révèle le rapport Symantec Security Threat, cette tendance s’aggrave : les attaques dirigées vers les entreprises de moins de 250 salariés sont passées de 18% à 31% en l’espace de 4 ans. Pour autant, les PME n’ont pas suffisamment investi dans les solutions de sécurité, ni choisi des solutions robustes, capables de protéger les éléments vitaux de leur gagne-pain.

Les dirigeants, s’ils veulent pérenniser leur activité, doivent donc adapter leur état d’esprit et leurs stratégies à cette nouvelle réalité et s’engager de manière proactive avec des spécialistes des vulnérabilités des structures digitales. Tout comme personne, suite à un accident, ne souhaite choisir son médecin dans l’ambulance menant à l’hôpital, aucune entreprise ne devrait se retrouver désemparée après une violation de données.

Alors que les grandes entreprises dépensent régulièrement des centaines de milliers, voire des millions, d’euros dans la cybersécurité, trop de nombreux propriétaires de PME traitent ce sujet avec légèreté parce qu’ils s’estiment trop petits pour être concernés. Cela en fait des cibles d’autant plus attrayantes pour les pirates.

Une violation de données n’est pas un petit accroc dans le quotidien. Elle peut au contraire causer des dommages irréparables quant à la réputation d’une entreprise, tout particulièrement une PME.  Celle-ci est en effet moins armée qu’une grande entreprise pour amortir le choc. Elle n’a souvent pas acquis une réputation sur laquelle elle peut s’appuyer. Le cauchemar qui suit une violation de données est souvent d’une grande violence. Des clients fuient à la suite des révélations, persuadés souvent à raison que davantage aurait pu être fait pour protéger leurs informations personnelles. Enfin, par peur d’être elles-mêmes contaminées, d’autres organisations hésitent à s’associer à une entreprise victime d’une violation majeure.

Le coût du mauvais coup

Les conséquences d’une attaque dépassent évidemment les questions de réputation d’autant que les entreprises doivent investir des sommes considérables pour améliorer la sécurité de l’information suite à une violation.

Elles doivent faire le « ménage » après une attaque et redorer leur image, ce qui implique souvent l’embauche de consultants en sécurité, de spécialistes de la « fidélité à la marque » et de professionnels du droit et des relations publiques.

Le coût moyen pour une PME qui n’a pas identifié ses failles de sécurité et qui subit une attaque est d’environ 30 000 euros. En revanche, celles qui adoptent une approche proactive en investissant dans la surveillance de la sécurité, les plans d’intervention, la protection financière et qui engagent des spécialistes de la correction des vulnérabilités peuvent éviter des frais additionnels et des tracas liés à une situation de crise. Elles peuvent même en sortir pratiquement indemnes.

Aujourd’hui, les PME doivent partir de l’hypothèse qu’une violation va se produire, puis développer des moyens de réduire leur risque et leur exposition en fonction de cette hypothèse. En se faisant des alliés au sein et en dehors de la communauté des PME et en devenant offensives plutôt que subir, les PME peuvent améliorer considérablement leurs chances de survie.

Personne n’est à l’abri de la cybercriminalité, pas même les candidats à la présidence de la République. D’ailleurs, comme l’avait écrit Olivier Kempf dès 2015, il n’y a que « deux sortes d’entreprises : celles qui ont été piratées […] et celles qui ne le savent pas[1] ».

Si, à l’issue de cette tribune, je n’ai pas réussi à vous convaincre que le conditionnel est un temps de conjugaison à proscrire en matière de cybersécurité, un cybercriminel ou un hacker s’en chargera.
___________________

Par Avi Bartov, fondateur de Menaya

 


[1] Olivier Kempf, Introduction à la cyberstratégie, Economica, 2015, p. 153.

 

À lire également :

Attaques de la supply chain : les PME sont une porte d’entrée indirecte.

Cybersécurité : le cloud, maillon fort des entreprises ?

Simulations de cyberattaques : le rôle clé des tests d’intrusion.

Quelle technologie pour protéger efficacement l’entreprise des cyberattaques ?

L’union européenne (UE) veut lutter férocement contre les deepfakes.

Attaques ransomware contre les données SaaS : 5 mesures de sécurité à prendre dès maintenant!