« Le niveau de prise de conscience des risques évolue »

Les PME sont-elles de plus en plus touch&eacute;es par la cybercriminalit&eacute;, et pourquoi ? Les cyberattaques, longtemps r&eacute;serv&eacute;es aux grands comptes, se d&eacute;veloppent en effet de plus en plus dans les TPE et PME. Les cybercriminels sont de plus en plus nombreux, s&rsquo;organisent et se professionnalisent. Les TPE et PME sont pour eux des cibles plus faciles car elles n&rsquo;ont ni les moyens ni les pratiques des grands comptes en termes de cyberprotection. De plus, attaquer les TPE et PME est aussi un moyen d&rsquo;atteindre les grandes entreprises, car les premi&egrave;res sont les clientes ou les fournisseurs des secondes. Les PME exportent et ont donc &eacute;galement des liens avec l&rsquo;ext&eacute;rieur. Enfin, une autre raison de cette progression est que les PME repr&eacute;sentent un gisement d&rsquo;innovation, de recherche et d&eacute;veloppement, et donc un potentiel &eacute;conomique important. Quels types de menaces cybercriminelles touchent les PME aujourd&rsquo;hui ? Nous avons men&eacute; un sondage aupr&egrave;s d&rsquo;adh&eacute;rents de la CGPME sur cette th&eacute;matique en juin 2015. Un tiers des entreprises interrog&eacute;es indiquent avoir &eacute;t&eacute; victimes d&rsquo;un acte de cybermalveillance. Les TPE sont les plus vuln&eacute;rables, 49 % d&rsquo;entre elles ont connu un piratage informatique, et les PME des services et de l&rsquo;industrie sont parmi les plus concern&eacute;es. Les serveurs, les messageries et les sites Internet sont les plus touch&eacute;s par le piratage et l&rsquo;envoi de liens malveillants destin&eacute;s &agrave; s&rsquo;introduire dans les syst&egrave;mes pour capter des donn&eacute;es. Tr&egrave;s peu de TPE et PME portent plainte en cas de cyberattaque, seulement une entreprise sur cinq qui a &eacute;t&eacute; attaqu&eacute;e d&eacute;clare avoir d&eacute;pos&eacute; plainte, selon cette enqu&ecirc;te. Avoir &eacute;t&eacute; la cible d&rsquo;une cyberattaque pose un probl&egrave;me d&rsquo;image, de r&eacute;putation, vis-&agrave;-vis des fournisseurs et des clients. Et les petites entreprises ne savent pas forc&eacute;ment &agrave; qui s&rsquo;adresser en cas d&rsquo;attaque. L&rsquo;objectif de ces cyberattaques est le vol d&rsquo;informations, de donn&eacute;es ou d&rsquo;argent. Or l&rsquo;arnaque au faux virement ( fovi ) est plus facile &agrave; mener en direction des PME, car elles n&rsquo;ont pas toujours de double signature ou de process tr&egrave;s industriel pour leurs paiements. La cybers&eacute;curit&eacute; est un enjeu de survie, car certaines PME ont mis la cl&eacute; sous la porte &agrave; la suite d&rsquo;une attaque. Les PME sont moins confirm&eacute;es dans la pr&eacute;vention de ces risques que les grandes entreprises. Or le comportement humain est le premier facteur de risques, comme on le voit avec la fraude au pr&eacute;sident ou l&rsquo;arnaque au faux virement. Dans le guide des bonnes pratiques de l&rsquo;informatique &eacute;labor&eacute; avec l&rsquo;ANSSI et paru en mars 2015 (voir Encadr&eacute;), nous avons voulu mettre l&rsquo;accent sur ce facteur humain. Que propose ce guide, et quelles sont les autres actions de pr&eacute;vention men&eacute;es par la CGPME ? Le &laquo; guide des bonnes pratiques de l&rsquo;informatique &raquo; publi&eacute; par la CGPME et l&rsquo;ANSSI propose douze r&egrave;gles simples et essentielles pour la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information des PME &agrave; destination des non sp&eacute;cialistes. Il part du constat que le premier risque, c&rsquo;est l&rsquo;humain, et est issu de l&rsquo;analyse d&rsquo;attaques r&eacute;ussies et de leurs causes. Nous le diffusons le plus largement possible, &agrave; travers les branches professionnelles notamment. Il est diffus&eacute; sur les sites Internet de la CGPME et de l&rsquo;ANSSI et a &eacute;t&eacute; rapidement t&eacute;l&eacute;charg&eacute; plus de 80 000 fois. Nous animons par ailleurs des ateliers de sensibilisation et d&rsquo;information sur le sujet de la cybercriminalit&eacute;, et des ateliers d&rsquo;&eacute;ducation au num&eacute;rique. Nous avons organis&eacute; un colloque le 18 novembre 2015 dernier, et nous participons au Forum international de la s&eacute;curit&eacute; (FIC) qui vient de se tenir fin janvier 2016 &agrave; Lille et qui, du fait du d&eacute;veloppement des cyberattaques, prend de l&rsquo;ampleur. Enfin, la CGPME souhaite qu&rsquo;un interlocuteur unique et une proc&eacute;dure d&rsquo;alerte unique en cas de cyberattaque pour les TPE et PME soient mis en place. Les choses devraient avancer en 2016 sur ces sujets. Il y a une prise de conscience grandissante aujourd&rsquo;hui de la part des TPE-PME de la n&eacute;cessit&eacute; de se prot&eacute;ger contre les cyberattaques. Mais elles n&rsquo;ont pas forc&eacute;ment les moyens de consacrer un budget suffisant &agrave; la cybers&eacute;curit&eacute;. L&rsquo;offre &eacute;volue cependant petit &agrave; petit de la part des &eacute;diteurs pour s&rsquo;adapter aux TPE et PME. Il y a d&rsquo;ailleurs des TPE-PME sp&eacute;cialis&eacute;es dans ces offres. Nous regardons notamment les offres en mati&egrave;re de cloud , car les entreprises font de plus en plus appel &agrave; des solutions cloud . Qui s&rsquo;occupe de la pr&eacute;vention et de la cybers&eacute;curit&eacute; dans les TPE et PME ? Il n&rsquo;y a pas de responsable de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information (RSSI) dans les petites entreprises, et souvent pas de responsable informatique, ni m&ecirc;me d&rsquo;&eacute;quipe IT, encore moins form&eacute;e &agrave; la s&eacute;curit&eacute;. C&rsquo;est souvent le dirigeant qui joue ce r&ocirc;le, alors que ce n&rsquo;est pas son m&eacute;tier. Que font les entreprises pour se prot&eacute;ger face aux cybermenaces, et en cas d&rsquo;attaque ? Aujourd&rsquo;hui, le niveau de prise de conscience des risques &eacute;volue. Les entreprises cherchent des offres de cybers&eacute;curit&eacute; adapt&eacute;es &agrave; leur situation et &agrave; leurs besoins. C&rsquo;est complexe, car le d&eacute;lai de d&eacute;tection d&rsquo;une attaque est tr&egrave;s long : il peut d&eacute;passer les 200 jours. Et les PME ne savent pas forc&eacute;ment &agrave; qui s&rsquo;adresser en cas d&rsquo;attaque, c&rsquo;est pourquoi la CGPME insiste sur la n&eacute;cessit&eacute; d&rsquo;un interlocuteur unique. Selon notre enqu&ecirc;te parue en juin 2015, les PME s&rsquo;adressent &agrave; la gendarmerie, &agrave; la police judiciaire ou municipale, au procureur de la r&eacute;publique, &agrave; la pr&eacute;fecture, &agrave; l&rsquo;ANSSI, au Centre op&eacute;rationnel de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information (COSSI), au CERT ( Computer Emergency Response Team )&hellip; Quelques-unes s&rsquo;adressent &agrave; leur fournisseur d&rsquo;acc&egrave;s Internet, leur assurance ou leur banque. Quelles relations entretiennent les PME avec leurs banques au sujet de la cybers&eacute;curit&eacute; ? Les banques peuvent jouer un jeu de sensibilisation &agrave; ces risques, voire de conseil.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

TPE et PME

« Le niveau de prise de conscience des risques évolue »

Autrefois plus épargnées que les administrations ou les grands groupes, TPE et PME sont désormais des cibles pour les cybercriminels. Leurs représentants cherchent à développer la prévention, en partenariat avec l’ANSSI*.

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous