Depuis juin 2022, près de 600 représentants de TPE et PME ont suivi le programme Coaching Cybersécurité proposé par IZENCIA, IN EXTENSO et TANU. Retour sur ce que les entreprise sont compris des enjeux de la cybersécurité, les questions qu’elles se posent et ce qui les freine dans leur passage à l’action.
Financée par le gouvernement à l’initiative de France Relance et France Num et organisée en collaboration avecBPI France, cette session de sensibilisation gratuite de 2 heures permet aux participants de prendre la mesure des risques cyber auxquels sont exposéesTOUTES les entreprises, quels que soient leur secteur d’activité et leur taille.
L’étape de la prise de conscience est essentielle, estime Neila Meklati. Animant depuis plusieurs mois ces sessions de sensibilisation, elle constate en effet que les petites organisations sont encore nombreuses à sous-estimer leur vulnérabilité, notamment parce qu’elles pensent ne pas détenir d’actifs numériques susceptibles d’intéresser d’éventuels attaquants. Or ce n’est pas le cas :
« Un des ateliers de la session consiste à tester les adresses mail des participants. Ils sont extrêmement surpris de découvrir que leur adresse a fait l’objet d’attaques répétées et que leurs mots de passe circulent sur le dark web, parfois depuis des années, et souvent sans qu’ils s’en aperçoivent ! Ce petit exercice démontre que personne n’est à l’abri, pas plus d’un vol de données, en l’occurrence d’identifiants et de mots de passe, que d’une attaque par ransomware. »
A vrai dire, les PME et lesTPE sont même des cibles privilégiées pour les cyber délinquants de tous types, précisément parce qu’elles sont généralement moins bien protégées et n’ont pas de personnel spécifiquement chargé de la sécurité de leur parc informatique et de leurs données. Une des conséquences est qu’elles mettent du temps -- et de plus en plus de temps -- à détecter les attaques qu’elles subissent : de 175 jour en 2021, le délai moyen de détection est passé à 8 mois aujourd’hui, les attaquants se faisant toujours plus discrets car il sont intérêt à rester le plus longtemps possible dans les systèmes où ils sont parvenus à entrer pour récolter le maximum de données.
Si les cyberattaques, notamment les demandes de rançon, vont croissant, elles sont loin d’être les seules menaces qui pèsent sur les données des petites entreprises. Les négligences internes, l’absence de procédure de sauvegarde et les défaillances matérielles sont également des causes fréquentes de pertes de données, souvent définitives. Les conséquences d’une perte de données sont extrêmement variables selon le type d’activité. Si elle n’a plus accès à ses données, une petite entreprise de plomberie pourra sans trop de difficultés poursuivre ses interventions en faisant appel à la mémoire de ses collaborateurs, par exemple pour retrouver les coordonnées de ses clients et les derniers travaux réalisés afin de pouvoir les facturer. En revanche, une société qui réalise des diagnostics énergétiques sera totalement paralysée si elle ne peut plus accéder à ses logiciels métiers et aux données recueillies sur le terrain. L’impact sur son chiffre d’affaires se fera très rapidement sentir si elle n’est pas en mesure de rétablir la situation.
« Toutes les entreprises utilisent des outils informatiques, ne serait-ce qu’une boite mail, rappelle Neila Meklati, mais toutes n’ont pas le même niveau de dépendance technologique. C’est souvent après avoir été victime d’une attaque ou d’une panne informatique qu’elles prennent la mesure de tout ce qu’elles ne peuvent pas ou plus faire sans ces outils – matériels et logiciels -- et sans données. »
C’est la raison pour laquelle il est vivement recommandé de réaliser un inventaire des usages et moyens informatiques en se posant des questions simples : qui utilise quoi dans l’entreprise ? Quels sont les logiciels et les données sans lesquels les différentes catégories de collaborateurs ne peuvent pas travailler ? Est-ce que les données indispensables sont sauvegardées ? A quelle fréquence ? Etc.
Faire l’effort de répondre à ces questions permet à l’entreprise de mettre au jour des vulnérabilités et des dépendances qu’elle ne soupçonne pas ou qu’elle a tendance à minimiser. Que cet inventaire/audit soit réalisé en interne (typiquement, par le service informatique) ou avec l’aide d’un intervenant extérieur, c’est le point de départ indispensable d’une démarche de cyber protection adaptée aux spécificités de l’entreprise. Il ne s’agit pas, à ce stade, de définir ce q u’il faut mettre en œuvre pour protéger l’entreprise, mais de comprendre d’où l’on part et le niveau de risque encouru.
Dans toutes les sessions de sensibilisation à la cybersécurité, au moins un des participants pose la question de l’investissement à consentir pour améliorer la sécurité de son entreprise. Il n’y a évidemment pas de réponse unique, ni en termes de montant, ni en termes de solution technique.
« Un des objectifs de ces sessions est de faire comprendre aux participants que la cybersécurité est le résultat d’un ensemble de facteurs, de solutions techniques et de comportements, précise Neila Meklati. Chaque entreprise est un cas particulier. La démarche qui lui correspond dépend de ce qu’elle a déjà mis en place, de la maturité des utilisateurs dans leurs pratiques, des menaces et des vulnérabilités identifiées et des priorités que se donne leur dirigeant. »
De fait, les dirigeants d’entreprises qui ont déjà connu des incidents de sécurité significatifs – demande de rançon, perte de données, vol de matériel, piratage de site web… -- sont beaucoup plus enclins que les autres à investir dans la cybersécurité. Ils savent ce qu’il en a coûté à leur entreprise, en perte de chiffre d’affaires et en réputation, et sont prêts à faire le nécessaire pour minimiser les risques. Ceux qui n’ont jamais été directement touchés ont malheureusement tendance à différer les investissements et les mesures indispensables… On en profite pour leur rappeler que 60 % des PME qui subissent une attaque sérieuse déposent le bilan…
Oui, la cybersécurité passe par des outils spécifiques, mais les outils ne suffisent pas : s’équiper d’un super antivirus ne sert à rien s’il n’est pas installé sur absolument tous les postes de travail, s’il est mal configuré ou encore si, par ailleurs, les utilisateurs ne respectent pas les bonnes pratiques en matière de mots de passe. Il faut adopter une approche globale qui, pour être efficace, doit être personnalisée. On comprend aisément que les protections dont a besoin une entreprise qui utilise principalement des applications cloud ne sont pas du tout les mêmes que celles d’une entreprise qui a ses propres serveurs sur site.
Le meilleur conseil que l’on puisse donner aux dirigeants de PME n’ayant pas de responsable de la sécurité est de faire appel à un spécialiste de la cybersécurité. Celui-ci saura prendra en compte les spécificités de l’entreprise, l’état de son parc informatique et applicatif, ainsi que les procédures déjà en place pour proposer un plan d’action couvrant :
- les technologies à déployer en priorité,
- le matériel obsolète à remplacer parce qu’il peut vous lâcher à tout moment,
- la formation des utilisateurs aux bonnes pratiques et aux procédures internes permettant d’éviter les pertes de données et les pièges tels que le phishing et les arnaques au président,
- les modalités de sauvegarde et de restauration des données vitales pour l’entreprise
- le type d’assurance à souscrire, si cette mesure s’avère nécessaire.
Oui, l’intervention d’un consultant spécialisé a un coût. Mais combien vous coûterait une semaine ou quinze jours d’arrêt de votre activité, si toutefois votre entreprise y survit ?
Vous voulez en savoir plus sur la cybersécurité de votre entreprise ?
>>Inscrivez-vous ou inscrivez un de vos collaborateur à une session de Coaching Cybersécurité