Nous faisons face à une crise sanitaire sans précédent qui va avoir de sérieuses conséquences sur notre économie. Cette crise est visible mais il y a un danger bien plus insidieux et durable qui menace notre économie, et dont les conséquences pourraient être bien plus dévastatrices encore. Ce danger c’est la cybercriminalité qui pèse quotidiennement sur nos TPE/PME.
La mise en place massive de la pratique du télétravail ayant clairement eu un effet amplificateur considérable. La sensibilisation sur le sujet s’est accélérée depuis quelques années, mais les effets tardent à se faire sentir. Pour éviter un « désastre économique », toutes les entreprises, sans exception, doivent intégrer la notion de sécurité, penser sécurité et se protéger.
Seuls les grands comptes sont concernés par les attaques cyber : FAUX
Les TPE représentent 95 % des entreprises françaises. Un employé français sur cinq travaille au sein d’une TPE. En ajoutant les PME, cela représente près de 99,8 % des entreprises. La plupart sont aujourd’hui totalement vulnérables aux cyberattaques. Il y a quelques mois, à l’occasion du Forum International de la Cybersécurité 2020, le Directeur Général de l’Agence Nationale de la Sécurité des Systèmes d’Information - le « cyber-pompier » français - Guillaume Poupard soulignait que si toutes les TPE/PME françaises venaient à subir de vastes attaques informatiques sur une courte période de temps, cela pourrait engendrer un désastre économique. Même s’il rappelait au passage que nous manquons de statistiques concrètes sur l’ampleur des cyberattaques ciblant les TPE/PME, nous avons tout de même régulièrement des indicateurs sur ce que vivent les entreprises : la CPME (Confédération des Petites et Moyennes Entreprises) estimait par exemple que 4 entreprises sur 10 de moins de 50 salariés ont été victimes d’une cyberattaque en 2019. Une étude du MEDEF ajoutant que 20 % des TPE touchées par une attaque ont subi un préjudice supérieur à 50 000 euros, celui-ci dépassant même les 100 000 euros pour 13 % d’entre elles. Un grand groupe peut survivre à une attaque (touché par le ransomware NotPetya en 2017, Saint-Gobain a perdu plus de 220 millions d’euros de chiffre d’affaires… soit 1 % de ses revenus). A l’échelle d’une TPE, 50 000 à 100 000 euros représente une somme considérable.
C’est une réalité, les cybercriminels attaquent sans relâche et de plus en plus fort. Face à cela, nous avons besoin d’un véritable électrochoc et que l’ensemble des entreprises se mettent enfin à penser sécurité et protection face aux cyberattaques.
Des efforts de sensibilisation trop peu entendus par les PME
Il faut tout d’abord en finir rapidement avec le discours de l’entreprise qui n’a pas de valeur pour des cybercriminels. Dans beaucoup de cas, l’étape initiale d’une attaque est un balayage de ports très large visant à trouver des vulnérabilités dans les entreprises (si l’on schématise, les attaquants testent automatiquement des milliers voire des millions de portes d’entreprises et repèrent celles qui sont ouvertes…). Ce n’est donc pas la valeur des données qu’ils vont trouver qui importe, mais la capacité à bloquer leur utilisation pour monnayer (rançon) leur déblocage.
Le recours au télétravail a amplifié le phénomène de la cybercriminalité, les employés travaillant à distance et utilisant de multiples terminaux tels qu’ordinateurs personnels non sécurisés, téléphone portable, etc. Les attaquants ne se sont pas privés de saisir l’occasion. Les attaques ont littéralement explosé durant les deux derniers mois. Le vol d’identifiants, login/mot de passe, compte parmi les techniques très répandues (dès lors que l’attaquant entre dans le réseau avec des identifiants légitimes, il peut remonter dans le réseau, obtenir des accès d’administrateur par exemple et lancer une attaque plus large, de type ransomware) et là aussi la période récente a été faste, les utilisateurs à distance étant moins protégés et traditionnellement trop peu vigilants.
La sensibilisation s’est largement amplifiée au cours des dernières années. Les actions menées à l’échelle nationale ou locale - par l’ANSSI, le programme Cybermalveillance.gouv, les CCI, et les offreurs de solutions - ne manquent pas.
Mais le constat que nous faisons dans de très, trop, nombreuses entreprises est que la sécurité reste totalement défaillante. Les investissements en solutions de cybersécurité ont certes augmenté, mais la bonne utilisation de ces outils et l’éducation des employés demeurent de trop gros points noirs.
Manque de ressources humaines compétentes, de ressources financières… que faire ?
Évidemment, les TPE/PME et les employés ne peuvent pas du jour au lendemain devenir des cybersoldats. Les raisons de cette vulnérabilité sont nombreuses : manque de moyens financiers, de ressources en interne ayant des connaissances ou des compétences en cybersécurité, et tout simplement absence d’une prise de conscience collective. Pourtant les mesures que tout expert en sécurité préconiserait ne sont pas si complexes :
1. Intégrer les bonnes pratiques simples et sensibiliser :
Des pratiques totalement contraires à la sécurité sont légion au sein des petites entreprises. Un exemple en cette période : travailler à distance avec un ordinateur ou un téléphone personnel, cela devrait être strictement et définitivement interdit. Dès lors qu’un employé travaille sur un ordinateur personnel, il stocke des données sensibles en local, il surfe sur Internet sans que ses connexions soient sécurisées, etc. Le pire étant lorsque ce même ordinateur revient se connecter au réseau de l’entreprise… De la même manière, tout nouvel employé rejoignant une entreprise devrait recevoir une mini-formation aux fondamentaux en matière de sécurité : reconnaître des emails malveillants de phishing, identifier des tentatives d’extorsion d’informations sensibles ou d’incitation à mener des actions illégitimes (attaques de spear phishing), les bonnes pratiques de partage d’informations professionnelles sur les réseaux sociaux, etc.
2. Se faire aider :
Les TPE/PME n’ont pas ou très peu de compétences cyber, et elles n’ont de surcroit pas toujours le réflexe de s’appuyer sur des experts. Des entreprises proposent des services d’audit pour répondre aux premières questions à se poser : quelles sont mes vulnérabilités ? Mes actifs les plus précieux ? De quels outils est-ce que je dispose et surtout, sont-ils bien utilisés ? D’autres prestataires de services prennent en charge la gestion de la sécurité à distance. Ce sont les MSP/ MSSP ou, en français, les fournisseurs de sécurité ou de services de sécurités managés. Ces MSP accompagnent les PME dans leurs choix de solutions et veillent à la sécurité du système d’information à distance.
3. Investir en sécurité mais pas n’importe comment :
L’ANSSI estime que le budget sécurité alloué par une entreprise devrait représenter 5 à 10 % de son budget global. C’est un investissement important mais finalement pas si important eu égard au risque bien plus considérable des conséquences d’une attaque. Multiplier les couches de sécurité pour une TPE/PME n’a pas de sens car les solutions deviennent rapidement impossibles à gérer. Une fois l’audit réalisé, plusieurs solutions sont indispensables et surtout adaptées aux TPE/PME en termes de coût, de ressources pour les gérer, à l’instar des pare-feu, antivirus, sécurisation des connexions internet, des emails, des identifiants/mots de passe, etc. et elles doivent surtout être utilisées correctement ou déléguées à un tiers compétent. C’est en effet l’observation la plus inquiétante faite par tous les experts sécurité : les outils sont de plus en plus présents mais la moitié des fonctionnalités pourtant payées ne sont pas activées, les outils ne sont pas bien paramétrés, laissant potentiellement passer la plupart des attaques.
Pour que nous puissions entrevoir de vraies avancées en matière de sécurité pour les TPE/PME, il faut que les entreprises pensent sécurité et se protègent. Le risque est trop important. Si les entreprises demeurent autant vulnérables, nous courons à la catastrophe économique… L’ANSSI a prévenu, les experts aussi, il ne reste plus qu’à espérer que ce message parvienne jusqu’aux premiers intéressés. Il est temps de tirer la sonnette d’alarme !