Contrairement aux idées reçues, les PME sont des cibles idéales pour les hackers : peu protégées et passerelles idéales vers des entreprises de plus grande taille et donc mieux protégées
Vous êtes au volant de votre voiture et vous roulez à vive allure. Tous les voyants étant au vert, vous ne prenez aucune précaution. La tête un peu ailleurs, sans forcément vous en rendre compte, vous grillez les feux à tous les croisements. Le pied sur l’accélérateur, vous vous dites : “il ne m’arrivera rien, je ne cours aucun risque, et je ne serai jamais repéré”. C’est ce genre de monologue qui se déroule dans la tête d’un dirigeant de PME lorsqu’il lui arrive de penser au risque de cyberattaque : “Aucun pirate informatique ne va s’intéresser à mon entreprise, elle est bien trop petite pour les attirer”.
Trop souvent, et souvent trop tard, les dirigeants de PME estiment qu'ils ne seront pas la cible des pirates informatiques. Croyant que c’est la taille qui désigne la victime — plus on est gros, plus on risquerait de subir une cyberattaque —, ils sont en effet persuadés par principe de passer sous leurs radars. Pour ce qui est d’assurer la pérennité de son entreprise, cette attitude est à peu près aussi fiable que de penser rester vivant en jouant tous les jours à la roulette russe. Dans le déni d’un risque devenu pourtant majeur, ces responsables considèrent à tort qu'ils ne sont pas des cibles de choix pour les cybercriminels. Pour ne rien arranger, cette croyance est souvent renforcée par le discours médiatique. Ce dernier met l’accent sur des chiffres énormes et du sensationnel, se polarisent souvent sur les violations "spectaculaires" de grandes entreprises et de gouvernements. On comprend mieux pourquoi cette idée erronée continue à se répandre. Pourtant, ce discours pourrait commencer à évoluer. Du point de vue des cybercriminels, que l’on soit petit ou gros ne change rien à l’affaire : pour les hackers, c’est taille unique !
La PME, une friandise pour les hackers
Le coût des cyberattaques croît tous les ans de manière exponentielle. Selon McAfee et le CSIS (Center of Strategic and International Studies), les pertes mondiales imputables aux attaques informatiques ont atteint 1 trillion de dollars (mille milliards) en 2020[1]. Cela représente plus d’1% du PIB mondial[2]. Les PME ne sont pas épargnées par ce phénomène, loin de là. Elles sont même visées en priorité. Une PME est une friandise de choix pour un hacker, soit parce qu’elle est en général facile à pirater, soit parce qu’elle est une porte d’entrée qui, tel un cheval de Troie, facilite la pénétration des réseaux de plus grosses entreprises (par définition mieux défendues) avec qui elle est en rapport. Selon la Commission des Valeurs Mobilières (CVM) des États-Unis, les PME courent "un risque encore plus grand et sont beaucoup plus vulnérables une fois qu'elles sont victimes d'une infraction". Alors que le volume des attaques croît au même rythme que les profits générés pour leurs auteurs, toutes les entreprises — quelle que soit leur taille — doivent s'atteler sérieusement à défendre leur Système d’Information contre la compromission. Pourtant, cette nécessité reste encore trop souvent une vue de l’esprit. Elle n’est hélas pas envisagée avec tout le sérieux nécessaire.
Le site web ou comment tomber dans les mailles du filet
La plupart du temps, seules les grandes entreprises ont mis en place des actions pour éloigner cette menace. En revanche, les PME sont encore largement dans le déni. Elles refusent d'admettre qu'elles ont été, sont ou seront visées, ou plus grave encore, elles estiment qu'elles disposent déjà d'une protection suffisante sur laquelle elles peuvent se reposer.
Il existe pourtant de nombreux exemples de TPE/PME, voire d’ETI, ayant dû se placer en redressement judiciaire après une cyberattaque. Selon les autorités américaines, la moitié d’entre elles font faillite dans les 6 mois qui suivent l’agression. Ces exemples démontrent sans équivoque qu’il est primordial de prendre des mesures pour limiter le risque.
A leur décharge, les dirigeants n’ont souvent pas conscience de la facilité et de la rapidité avec lesquelles les hackers découvrent et exploitent les vulnérabilités, et encore moins de la façon dont cela met en péril les serveurs de sites Web, qu'ils soient mis à jour ou obsolètes. Selon la US Small Business Administration (SBA), les entreprises qui utilisent des systèmes de gestion de contenu Web sont confrontées à des menaces encore plus graves : "À tout moment, entre 70 et 80 % des utilisateurs utilisent des versions obsolètes de WordPress, ce qui entraîne des vulnérabilités critiques et bien documentées."
Les PME ont donc tout à gagner en ayant un site Web non seulement protégé mais aussi surveillé.
Augmentation du trafic = augmentation du risque ?
Dans le meilleur des cas, les dirigeants de PME examinent régulièrement les chiffres du trafic web et constatent souvent une augmentation du volume. Cependant, plusieurs études indépendantes montrent qu'une moyenne de 7% du trafic quotidien provient de pirates explorant et/ou exploitant des vulnérabilités. Ce chiffre est probablement encore plus élevé pour une PME "petit poisson" qui fournit des biens et des services à un "gros poisson". Comme souligné plus haut, ces PME sont souvent utilisées comme passerelles vers de grandes entreprises, en général mieux protégées.
Plus raffinées, plus soutenues et plus longues, les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) ont augmenté de 150% au cours du premier semestre 2020[3], dépassant la barre des 10 millions, soit 1,6 million de plus qu’en 2019. De la TPE au grand groupe, toutes les entreprises peuvent être visées, tout particulièrement celles disposant d’un site d’e-commerce.
Quand les PME en ont plein le DDoS
Si les attaques DDoS font l'objet d'une couverture médiatique plus fréquente, d'autres peuvent causer davantage de ravages dans une PME. A titre d’exemple, le flux d'attaques de robots au niveau des applications est désormais quasi constant. Pour aggraver le tout, il est difficile à détecter et à combattre. Sur le papier, le scénario semble pourtant rudimentaire : les "mauvais" robots se font passer pour de "bons" robots, tels que les crawlers des moteurs de recherche. En réalité, Ils se livrent à des activités plus raffinées : exploration de données concurrentielles, détournement de comptes, etc. Dans le plus grand secret, ils affectent la disponibilité du site Web d'une entreprise, dégradent l'expérience utilisateur et aspirent des informations exclusives. A terme, ces pratiques peuvent naturellement éroder la confiance des consommateurs pour une marque.
Les PME piratées subissent en proportion des pertes beaucoup plus importantes que les grandes entreprises d’autant que, contrairement à ces dernières, elles ne bénéficient pas toujours du crédit et de la confiance associés à leur nom. L’utilisation par les pirates d’un site pour héberger des logiciels malveillants, pour contourner les adresses IP figurant sur les listes noires, peut avoir des conséquences graves sur les efforts marketing d’une entreprise en nuisant notamment à son référencement dans les moteurs de recherche. Si le site d'une entreprise est identifié comme compromis, ceux-ci pénaliseront en effet le domaine jusqu'à ce que le code malveillant soit éliminé.
Depuis le milieu de l'année 2010, les attaques visant les petites entreprises n'ont cessé d'augmenter. Malgré la forte probabilité d'être confronté à un cauchemar cyber sécuritaire bien réel, la grande majorité des dirigeants de PME n'a pas encore pris la mesure du danger. Pourtant, les sites web des PME représentent pour les pirates d’immenses gisements de valeur.
Aucune PME, si petite soit-elle, ne devrait oublier que la valeur n’attend pas le nombre des données.
[1] https://www.mcafee.com/enterprise/en-us/assets/reports/rp-hidden-costs-of-cybercrime.pdf
[2] Usine Digitale, [Etude] Les pertes dues à la cybercriminalité s'élèvent à plus d'1% du PIB mondial
[3] Etude Neustar