TPE PME : créons une culture cyber !

TPE PME : créons une culture cyber !

Si la digitalisation des entreprises françaises favorise leur croissance, y compris celle des TPE PME, elle est aussi source de nouvelles menaces. Ainsi, l’évolution des techniques d’attaques a été pharaonique au cours des 5 dernières années. A titre d’exemple, les attaques de supply chain se sont développées mais c’est bien le phishing qui reste l’attaque la plus courante, à la fois en termes de nombres d’attaques et de viralité, et de puissance des attaques.

Les TPE PME toujours à la peine en termes de protection cyber

Une étude menée par la société Vade précise que les attaques de phishing ont été multipliées par 7 depuis le 1er confinement en 2020. L’attaque par ransomware arrive en seconde position et la fraude au président « fonctionne toujours ». La généralisation du télétravail, dans le contexte de la crise sanitaire, ayant constitué une aubaine supplémentaire pour les pirates informatiques.

Et pourtant l’investissement des TPE PME dans la cyber est bien trop limité pour pouvoir faire face à la hausse et à la professionnalisation des attaques. Si elles ont, de plus en plus, conscience de la nécessité de se protéger contre les menaces numériques, elles continuent de percevoir le sujet de la cybersécurité comme abstrait, très technique, complexe et coûteux. Et leur retard dans la mise à niveau de leurs équipements informatiques, en font des cibles de choix.

Un manque de communication prégnant

Les résultats d’un sondage mené par Unigros (l’union des associations et syndicats des grossistes de Rungis) illustrent le manque de communication auprès des TPE et PME. Selon les TPE-PME appartenant à ce groupement, il n’existe pas de campagne massive de communication ciblée et il conviendrait de communiquer davantage sur les règles simples à mettre en place car il y a un fort besoin de sensibiliser et de former. Toujours selon ce sondage mené en décembre 2021, il y a un fossé entre la perception et la réalité : 1/3 des patrons de TPE PME pensent que leurs salariés sont bien sensibilisés aux questions de cyber. Or, dans les faits ce n’est pas le cas. Il y a un excès de confiance. Autre exemple de dichotomie : l’étude indique que 100% des entreprises ayant été touchées ont porté plainte, or la réalité terrain est tout autre : la majeure partie des entreprises touchées ne portent pas plainte. Sitôt le problème réglé, l’activité de l’entreprise repart et « on passe à autre chose ». ll existe un besoin prégnant de sensibiliser.

Le besoin de créer une culture cyber

Force est de constater que les TPE PME ne se sentent pas toujours concernées par les questions de cybersécurité. C’est un fait, elles n’ont bien souvent pas la compétence cyber nécessaire, et décident d’externaliser la sécurité de leur SI. Si le fait de choisir de confier à un tiers la gestion de sa sécurité est une bonne solution, ces prestations peuvent induire, en fonction du contexte dans lequel elles sont réalisées, des risques pour le système d’information comme pour les données (intégrité, disponibilité, confidentialité). L’ANSSI identifie à ce propos trois grands domaines de risques : la perte de maîtrise du système d’information ; les interventions à distance ; l’hébergement mutualisé. Pour autant, le recours à un prestataire est même souhaitable lorsque les compétences en interne sont absentes ou insuffisantes, le niveau de confiance dans le partenaire étant un facteur clé.

Par ailleurs et c’est là un autre risque prégnant, les TPE et PME pensent que leur taille les préserve du danger… Or il est désormais prouvé que les grandes entreprises, les ETI, les PME et même les start-ups ne sont pas à l’abris d’un cyber-risque. Mais les TPE / PME ont encore tendance à penser que « cela n’arrive qu’aux autres ». Il est donc primordial de faire évoluer les mentalités et pour cela, de sensibiliser et de former en interne, au sein des entreprises, afin de mettre en place une véritable culture cyber.

Culture Cyber : quelques règles de base

  1. Consulter les fiches pratiques sur le phishing, les ransomware… sur le site cybermalveillance.gouv.fr
  2. Choisir un partenaire labellisé Cyber Expert ou de confiance pour déléguer sa sécurité
  3. Ne pas pour autant ne pas s’en préoccuper en restant vigilant (cela n’arrive pas qu’aux autres !)
  4. S’informer régulièrement auprès des médias spécialisés
  5. Noter dans son agenda les événements sur le sujet de la cybersécurité
  6. S’assurer d’une sauvegarde régulière
  7. Appliquer les mises à jour logicielles
  8. Implémenter une politique d’usage de mots de passe robustes et une authentification multi- facteurs
  9. Penser à faire régulièrement des exercices de crise (pour être prêt « au cas où »), y compris pour préparer les aspects « communication » en cas d’attaques
  10. Et sensibiliser ses salariés aux risques (serious game)

Les TPE PME représentent 98% des entreprises françaises. Elles sont alors le tissu économique de notre pays. Le coût mondial de la cybercriminalité en 2021 est évalué à 6 000 milliards de dollars. Selon un récent rapport du Sénat, les entreprises, particulièrement les TPE et les PME, sont souvent exposées à des incidents de cybersécurité. Il convient alors, et pour les aider à s’en prémunir, de les encourager à mettre en place les principes de bases indiqués plus haut, et à instaurer cette culture cyber qui doit être désormais au cœur de la stratégie de toutes les entreprises.

Sans oublier que les TPE PME peuvent être une cible facile pour attaquer les plus grandes. Cyber protéger les PME, c’est protéger le tissu économique tout entier.

Partager cet article

Les articles cyber les plus lus

Startup

Prix de la Startup Forum Incyber 2024 : 5 pépites cyber à la une !

Chaque année, le Forum Incyber récompense des pépites de l’écosystème cyber. Le choix du…

VPN vers ZTNA en 9 étapes

Comment passer du VPN traditionnel au ZTNA en 9 étapes

Pendant longtemps, les entreprises ont privilégié les VPN pour permettre aux employés de…

Zéro-Trust

Tout le monde (ou presque) fera du Zero Trust… et mieux vaut s’y préparer dès maintenant !

Dernièrement, en France, les organisations attaquées (par exemple les hôpitaux) avaient…