Dans quelle mesure les PME sont-elles vulnérables aux attaques cyber ?

La moitié des attaques informatiques visent des PME ! Dès lors qu’elles utilisent l’informatique et l’internet, elles sont tout aussi vulnérables que les grandes entreprises, les administrations ou les établissements de santé. Certes leur exposition – leur surface d’attaque, pour employer un terme spécialisé – est moindre, car elles ont moins d’actifs exposés en ligne ; mais la vulnérabilité de ces actifs est souvent élevée en raison d’un faible degré de sécurisation. Faute de maturité cyber, nombre de PME n’ont pas mis en place la gouvernance, les dispositifs de sécurité et la sensibilisation nécessaires. Et lorsqu’elles sont frappées, les conséquences pour leur pérennité sont souvent bien plus importantes que pour les grandes organisations, plus solides et mieux préparées.

Les dirigeants de PME sont souvent convaincus qu’ils sont trop petits pour attirer les pirates, et que la cybersécurité coûte cher

Tordons le coup à ces deux idées reçues. De nos jours, un grand nombre d’attaques informatiques sont des attaques d’opportunité : les pirates cherchent au hasard et trouvent des failles : identifiants volés récupérés sur le darkweb, personnels naïfs qui cliquent sur tous les liens, vulnérabilités informatiques détectées grâce aux scans de ports… Ils cognent alors, souvent sans même savoir qui est leur cible : s’infiltrent dans le système d’information, volent ou chiffrent les données, paralysent les machines… Le fait d’être petit ne protège en rien !

Quant au coût de la cybersécurité, il n’est en fait pas élevé, du moins pour la grande majorité des PME dont les enjeux ne sont pas trop critiques. Le principal obstacle est de lancer la démarche avec sérieux : s’organiser, sensibiliser le personnel, mettre en place des processus robustes, adapter les contrats, déployer quelques solutions techniques pertinentes. Avec quelques euros par poste et par mois, on réduit déjà considérablement ses risques. Si on a des enjeux de sécurité importants, on est plutôt à quelques dizaines d’euros par poste et par mois. Dans tous les cas, ce ne sont pas des budgets élevés au regard des coûts de rémunération et de fonctionnement de l’entreprise ; surtout au regard des pertes évitées, qui sont d’un tout autre ordre de grandeur ! Le vrai challenge est de s’en occuper, ce qui demande un peu de temps et de détermination du dirigeant, qui a toujours plein d’autres priorités.

Que doivent faire les entreprises concrètement, pour accroître leur résilience cyber ?

Je recommande de procéder en quatre étapes : le diagnostic, pour une première évaluation de son niveau de maturité cyber et de ses faiblesses ; l’analyse de risques, pour prioriser les risques numériques à mitiger en fonction de ses enjeux business ; l’identification des mesures de sécurité, pour traiter chaque risque inacceptable ; et la mise en œuvre du plan de sécurisation, pour déployer les mesures. La PME peut mener chaque étape seule, avec des ressources qui se trouvent facilement en ligne, ou se faire accompagner, pour gagner du temps et être plus efficace.

Commençons par le diagnostic…

Il existe des diagnostics sommaires gratuits dont les PME peuvent profiter : soit en ligne pour être autonome, en acceptant d’y passer un peu de temps, soit avec des accompagnants bénévoles, notamment MonAideCyber promue par l’ANSSI. Cela reste évidemment élémentaire, mais des accompagnements très subventionnés existent pour aller plus loin, notamment Move2Digital pour les diagnostics cyber des PME de la région Sud.

Ensuite l’analyse des risques numériques…

Au-delà du diagnostic, qui va identifier des manques par rapport à l’état de l’art, il est important de prioriser les mesures à mettre en place en fonction des risques numériques auxquels la PME est exposée du fait de son activité et au regard de ses enjeux business. Ces risques peuvent être mesurés par leur vraisemblance et leur gravité, le produit des deux représentant le niveau de risque pour l’entreprise. En découlent immédiatement les risques les plus critiques à mitiger en priorité ; en en traitant les 20% les plus importants, on réduit ses risques de sinistre de 80% !

Mener cette analyse de risque en interne nécessitera souvent un peu de formation, lorsqu’on n’a pas de compétences en cybersécurité, mais elle est aussi incluse dans une prestation subventionnée de type Move2Digital. Pour la plupart des PME, une analyse de risques sommaire suffit, ce qui prendra très peu de temps à un intervenant professionnel.

Vient alors l’identification des mesures de sécurité…

Dès lors qu’on a un diagnostic et que l’on est clair sur les risques à traiter en priorité, il est facile d’identifier et de tracer les mesures à déployer. Celles-ci peuvent relever de la gouvernance de l’entreprise (organisation et rôles, politique, contrôles et audits…), de ses processus et opérations (cartographie du système d’information, mises à jour, sauvegardes, gestion des incidents…), des ressources humaines (formation, sensibilisation, charte informatique, gestion des droits d’accès…), des solutions technologiques (outils de sécurité, authentification forte, protection des machines, segmentation réseau, chiffrement…) ou des tiers (assurance, exigences contractuelles et audits, services de veille et d’analyse des vulnérabilités…).

Et enfin la mise en œuvre du plan de sécurisation !

Oui, les mesures de sécurité identifiées doivent être assemblées dans un plan de déploiement. Il est important que chaque mesure soit associée à un pilote et à un calendrier et que l’ensemble soit supervisé par le dirigeant de la PME. Celui-ci doit d’ailleurs montrer l’exemple et ne pas exiger de dérogation à la politique de sécurité, sinon c’est toute la crédibilité de la démarche qui s’effondre !

Toutes les fonctions de l’entreprise doivent être associées au plan de sécurisation. Bien sûr l’informatique, mais aussi la finance, les méthodes et la qualité, les achats et les métiers opérationnels.

Quelle aide le Campus cyber Euromed apporte-t-il à ses membres PME pour mener cette démarche ?

Le Campus cyber met en place des parcours de cybersécurité qui, du diagnostic au plan d’action et passant par l’accès aux ressources à mobiliser, accompagneront les PME dans cette démarche. Une labellisation en découlera, afin de rassurer les parties prenantes et donneurs d’ordre sur la maturité de l’entreprise.

Rejoindre le Campus cyber Euromed, ce n’est pas simplement adhérer à un un écosystème dynamique de sensibilisation, collaboration et sécurisation contre les attaques cyber, c’est aussi monter concrètement en maturité cyber et donner confiance aux clients et parties prenantes !