17 juin 2022
TPE et PME : comment assurer sa sécurité informatique ?
Si l’importance de la digitalisation a bien été saisie par les TPE et PME françaises, la conscience des risques en la matière est souvent sous-évaluée. Pourtant, les entreprises locales et de tailles modestes peuvent être des cibles faciles pour les cybercriminels, qui misent sur le manque de maturité technologique et de moyens de protection de ces sociétés.Comment évaluer son niveau de protection informatique et s’assurer de la bonne protection de ses données, quel que soit son domaine d’activité et la taille de son organisation ? Petite introduction aux bonnes pratiques de protection informatique pour TPE et PME.
Des risques réels et sous-estimés
Avec la digitalisation des entreprises françaises et la multiplication des données utilisées, les opportunités commerciales augmentent pour les petites et moyennes entreprises françaises. Les risques liés à leur cybersécurité aussi : le site gouvernemental Cybermalveillance enregistrait pas moins de 10 000 demandes d’assistance de la part d’entreprises ayant subi une attaque informatique en 2020.
Durant cette année-là, le nombre de cyberattaques a été multiplié par quatre, selon l’Autorité nationale de la sécurité des systèmes d’information (Anssi). Des attaques qui touchent en particulier les TPE et, surtout, les PME : en 2021, 19 % des PME françaises ont été confrontées à une cyberattaque et sont 33 % à n’avoir prévenu personne suite à celle-ci, ni police ni prestataire de service, selon une enquête menée par la Commission européenne.
Souvent sensibles aux dangers de la cybercriminalité mais peu armées technologiquement pour y répondre, les TPE et PME représentent une cible de choix pour les cybercriminels. Mais quels sont les principaux risques encourus par les TPE et PME en matière de cypher ?
Le ransomware, la plaie informatique des entreprises
Les ransomwares, ou rançongiciels, sont un problème de taille pour les TPE et PME. Ces dernières représentent 34 % des victimes de ce type d’attaques en France, selon l’Anssi, soit une augmentation de 53 % par rapport à 2020. Ce type de virus bloque un appareil ou une application et force généralement l’utilisateur à procéder à un paiement pour rétablir les accès. Il peut s’installer sur une machine après l’ouverture d’une pièce jointe, la navigation sur un site compromis ou l’utilisation d’une clé USB malveillante.
Le phishing ou hameçonage, qui vise à récupérer des données de l’utilisateur en se faisant passer pour un tiers de confiance, tout comme le piratage de compte en ligne sont également en forte hausse auprès des entreprises d’après Cybermalveillance. En ligne de mire : vol des informations bancaires, espionnage industriel, chantage ou déstabilisation diverses, etc.
Petit guide de survie aux menaces informatiques
Comment se prémunir efficacement des attaques informatiques ? La plus élémentaire des réponses est l’instauration d’une hygiène numérique efficace au sein de l’organisation. L’hygiène numérique, c’est la transcription au monde informatique des règles sanitaires basiques : comme on se lave les mains, on choisit un mot de passe robuste. Comme on éternue dans son coude, on sécurise son point d’accès Wi-fi.
L’Anssi a réalisé un guide très complet à destination des acteurs privés, mais l’on peut résumer les éléments les plus basiques en quelques points :
- Utiliser des mots de passe robustes et divers ;
- Effectuer des sauvegardes et mises à jour régulières ;
- Sécuriser ses connexions Wi-Fi ;
- Télécharger des programmes (et pièces-jointes) de sources sûres ;
- Utiliser un antivirus ;
- Ne pas partager d’informations personnelles sur les réseaux sociaux et à autrui en ligne
Prenons un exemple qui, s’il est caricatural, a le mérite d’être démonstratif. En 2018, le dirigeant de la filiale néerlandaise de Pathé a été induit en erreur par de faux e-mails et de fausses pièces jointes de sa direction internationale. Ceux-ci lui demandaient d’effectuer des virements multiples afin de réaliser une acquisition à l’étranger. Résultat des courses : la perte de 19 millions d’euros pour le groupe et la mise en cause juridique de cette personne. Cet exemple prouve les attaques dont peuvent être victimes les entreprises, quelle que soit leur taille : non vérification de la source, envoi d’informations personnelles et professionnelles, téléchargement de pièces jointes potentiellement problématiques.
Que retenir ?
Ces conseils valent pour tous les collaborateurs – dans la sphère privée comme dans la sphère professionnelle. A l’échelle d’une entreprise, on peut et doit aller encore plus loin.
BPI France et Cybermalveillance ont ainsi mis en place un livre blanc, spécialement destiné aux TPE et PME, pour leur permettre de mieux s’armer contre les attaques informatiques. Celui-ci apprend à mieux identifier et reconnaître les risques mais aussi à répondre à ceux-ci et adopter les bons réflexes – sans intervention d’un tiers. Cybermalveillance propose également des audits et modules d’apprentissage pour diagnostiquer les failles de sécurité informatique et apprendre à y répondre au sein de son organisation.
Dans leur transition vers le numérique, sécuriser, alerter et remédier à l’attaque sont des réflexes que les TPE et PME doivent aussi adopter.