Cybersécurité : les TPE et PME se sentent moins menacées… à tort !

Certes, la peur n’évite pas le danger, mais il n’en reste pas moins que, chez ces dernières, un décalage existe entre leur exposition réelle aux risques, principalement du fait du manque de moyens alloués à leur sécurité informatique, et leur perception de ces risques qui peuvent pourtant avoir des conséquences importantes, même au sein des plus petites organisations.

Le baromètre est riche en enseignements sur la perception « terrain » des répondants - pour les trois-quarts non spécialistes de l’IT ou de la cybersécurité - car il offre un état des lieux des acteurs de l’économie française, relevant autant du ressenti que d’une vision pragmatique de leur perception des cyber-risques et sur les conditions de gestion de ces risques.

Plus l’entreprise est petite, moins elle se sent menacée

Force est de constater que la taille de l’entreprise influe sur la perception du risque cyber et les moyens mis en œuvre. Malheureusement, les TPE et PME sous-estiment leur vulnérabilité. Elles représentent pourtant la majorité des acteurs du paysage économique français et, comme toutes les organisations, ne sont pas épargnées par les cybercriminels.

Peut-être parce que, plus petites, elles se pensent – à tort – moins « intéressantes » pour les attaquants ? 82 % des TPE (moins de 20 salariés) ne se sentent en effet pas exposées aux risques cyber ; il en va de même pour 77 % des PME de 20 à 49 salariés et 63 % des PME de 50 à 249 salariés. Pour autant, les répondants de PME de moins de 50 salariés ne sont que 49 % à estimer faire suffisamment d’efforts pour se protéger (contre 81 % pour les organisations de plus de 1 000 salariés). Il existe donc un paradoxe chez les petites et moyennes entreprises : si près d’une sur deux a conscience que des efforts sont à faire, leur perception du risque n’en semble pas affectée.

Or, le manque ou l’insuffisance des moyens alloués à leur cybersécurité est la première cause de leur exposition aux risques d’attaques : 82 % des PME de 20 à 49 salariés et 78 % des TPE sondées y consacrent moins de 10 K€ de budget annuel.

À cela s’ajoute un manque de connaissance des bonnes pratiques, parmi lesquelles les recommandations de l’ANSSI (Agence nationale de la Sécurité des Systèmes d’Information) qui offrent pourtant un premier rempart aux organisations. Si les ETI et grandes PME sont plutôt au fait de celles-ci – les entreprises de 250 à 499 salariés et celles de plus de 1 000 salariés connaissent 2 fois plus le guide de l’ANSSI que les autres et l’appliquent 3 fois plus – les TPE sont, quant à elles, à la traîne…

Les TPE et PME, cibles de choix pour les attaques par rançongiciel et phishing

Ce faisant, les PME comme les TPE s’exposent à des attaques faciles à mettre en œuvre pour un cybercriminel, telles le rançongiciel (ransomware). Ce dernier représente 30 % des attaques subies par les PME et 26 % de celles constatées par les TPE. L’hameçonnage (phishing), autre attaque courante, a déjà fait 25 % de victimes chez les PME interrogées (7 % chez les TPE). Ces types d’attaques ont pour conséquence principale le vol ou la perte de données (pour 21 % des PME et 36 % des TPE touchées), une répercussion qui représente d’ailleurs la bête noire de ces entreprises qui la redoutent respectivement à 89 % et 86 %.

Les chiffres montrent bien qu’il n’y a pas de « menu fretin » aux yeux des cyberattaquants. Les enjeux liés à la cybersécurité doivent donc impérativement gagner en importance dans la vie des petites et moyennes entreprises.

Se prémunir contre les conséquences multiples des attaques

Pour agir, il faut regarder les chiffres en face afin d’anticiper les conséquences néfastes qu’une seule attaque suffit à induire. D’abord, les impacts techniques, entraînant des interruptions d’activité, des dysfonctionnements de service, des pertes ou fuites de données. Ensuite, les répercussions financières : coûts de remise en service, de récupération et de sauvegarde des données, perte de recettes liées à l’arrêt de services… Enfin, il ne faut pas négliger les conséquences humaines telles que la gestion de crise et surtout la perte de confiance engendrée chez les clients et partenaires, voire les collaborateurs. En tout état de cause, une cyberattaque peut entraîner un déficit d’image, autant en externe qu’en interne, qu’il ne faut pas minimiser.

Malheureusement, la cybersécurité reste encore trop souvent perçue par les petites et moyennes organisations comme un champ de compétences et d’action réservé aux spécialistes. Au contraire, elle doit désormais s’inscrire comme une préoccupation majeure pour toutes les entreprises ! L’attention que doivent porter les TPE et PME à leur cybersécurité – et les moyens à y consacrer – ne doit plus faire de doute. La question se pose dès lors d’intégrer la cybersécurité dans leur gouvernance d'entreprise ou, le cas échéant, de la déléguer – selon l’organisation de ces petits acteurs – à des partenaires qui sauront les accompagner en confiance.

Il en va autant de la protection de leurs données et de celles de leurs clients, que de leur réputation, de la continuité voire de la survie de leur activité. N’oublions pas que les TPE et PME constituent aujourd’hui la grande majorité de notre tissu économique !

* « Baromètre de la cybersécurité 2023 : quelle maturité pour les entreprises françaises ? » Le Campus Cyber a choisi d’intégrer les résultats de ce baromètre dans son CyberScope 2024.