La cybersécurité concerne autant les grosses structures que les PME. Les petites entreprises font parfois l’erreur de sous-estimer le risque, or les effets d’une cyberattaque peuvent gravement impacter ces structures parfois fragiles, vu dans notre précédent article.
Quand on sait qu’un employé de PME a 350 %[1] plus de risques de subir des attaques d’ingénierie sociale qu’un employé de grand groupe, il est temps de se protéger.
Voyons donc les enjeux, et comment mettre en place des garde-fous pour se prémunir contre ces risques « cyber ».
TPE / PME : des cibles privilégiées par les cyberattaquants
Les cybercriminels ont bien conscience que les TPE / PME sont des cibles privilégiées. Quand on voit les chiffres que ces entreprises représentent, on peut comprendre que les attaquants s’intéressent à elles.
Rappelons que ces entreprises sont à la fois sous-traitantes et fournisseurs de grands groupes et peuvent être d’autant plus ciblées dans le cadre d’attaque supplychain.
Selon une étude Symantec datant de 2021, « 71 % des TPE et PME qui font l’objet d’une cyberattaque ne s’en remettent pas. »
Chez nos voisins européens :
- 75 % des entreprises allemandes ont été victimes de vol de données, d’espionnage industriel ou de sabotage en 2019. (Source : association allemande de l’économie de l’information, des télécommunications et des nouveaux médias)
- L’Espagne est un pays de PME et c’est là qu’une cyberattaque peut être dévastatrice et même les conduire à la faillite. En juin 2021, le pays a subi 40 000 cyberattaques par jour : les administrations et les PME figurent parmi les cibles les plus vulnérables. Les secteurs les plus touchés étant l’assurance, les TMT (télécommunications, médias et technologies), l’industrie manufacturière, la banque et l’administration publique.
Enjeux économiques
Un grand groupe peut survivre à une attaque, qu’en est-il pour une plus petite structure ?
Proportionnellement une cyber attaque va coûter plus cher à une PME qu’à un grand groupe, qui aura plus probablement une équipe de sécurité pour vite pallier le dysfonctionnement. Les PME, à l’inverse, vont subir de plein fouet un arrêt de la productivité entrainant une perte nette du chiffre d’affaires.
Selon une enquête menée par le MEDEF (Le Mouvement des entreprises de France est une organisation, représentant des entreprises françaises). En 2020 « 20 % des TPE touchées par une attaque ont subi un préjudice supérieur à 50 000 euros, celui-ci dépassant même les 100 000 euros pour 13 % d’entre elles ».
Privilégier sa sécurité informatique c’est un levier de compétitivité, c’est garantir ses performances, en anticipant/évitant une perte de revenu.
Mettre en place une politique de sécurité c’est aussi protéger la notoriété de sa structure. On sait qu’une entreprise attaquée peut potentiellement perdre des clients, voir ses commandes supprimées, avoir son image dégradée, voir sa confiance altérée, favorisant ainsi la concurrence.
Une cyberattaque agit directement sur le chiffre d’affaires, les emplois, la vie de l’entreprise.
20% des TPE touchées par une attaque ont subi un préjudice supérieur à 50 000 euros, celui-ci dépassant même les 100 000 euros pour 13% d’entre elles
Effet boomerang
La TPE/PME peut être à la fois sous-traitante et fournisseur. Elles sont particulièrement exposées aux attaques. Les cybercriminels peuvent chercher à atteindre le réseau informatique de leurs partenaires.
Au-delà donc de sa propre sécurité, ces petites structures doivent être sécures pour leurs clients. Toute entreprise est juridiquement responsable. De plus, les grands groupes exigent de plus en plus de connaître les moyens de défense de leurs partenaires au risque de ne plus pouvoir travailler avec eux.
Le rapport Acronis de 2021[2], révèle que « 4 entreprises sur 5 ont expérimenté une compromission de cybersécurité due à une vulnérabilité touchant l’écosystème de leurs fournisseurs tiers. “
Elles peuvent aussi être attaquée car leur client lui-même est attaqué. Une attaque réussie peut compromettre des centaines ou des milliers de PME, comme c’était le cas lors de l’attaque Solarwinds et Kaseya.
Sécurisation du cloud
Avec l’avènement du télétravail, le stockage des données a beaucoup évolué. Le cloud est devenu indispensable. Ainsi 40% des PME ont déjà investi dans des solutions hébergées dans le Cloud[3]. Cela ne constitue pas encore la majorité des PME. Les dirigeants restent encore réticents par crainte ou par manque de connaissance, privilégiant pour certains un stockage hybride.
« Selon une étude Gartner, le Cloud public pourrait représenter jusqu’à 14% des dépenses informatiques mondiales en 2024 »[4]
Bien entendu, cette multiplication des zones de stockage constitue également une multiplication des risques qui constituent une raison de plus pour intégrer la cybersécurité dans le choix de leur solution, mais aussi sur toute la chaine de l’information : du cloud aux terminaux mobiles, en passant par le réseau, et ainsi assurer une sécurité de bout en bout.
Cyberassurance
Certains dirigeants de TPE-PME estiment leur niveau de protection cyber suffisant au point de ne pas avoir à souscrire une cyberassurance. Et quand ils l’envisagent alors, ils ne mesurent pas bien les prérequis exigés par les cabinets : PCA (plan de continuité d’activité), sauvegarde, sensibilisation du personnel, correctifs exigés, … Certains donc ne comprennent pas tous ces niveaux d’exigences, d’autres n’ont pas la capacité d’y répondre. Ces lacunes en termes de compréhension du contrat jouent sur l’adhésion des PME à ces contrats.
La question du budget revient forcément peser dans la balance ; en effet la majoration tarifaire n’aide pas à la prise de décision.
Or pour chaque entreprise avoir cette couverture est un véritable enjeu sécuritaire. Les cyber assureurs devront s’adapter à ce nouveau marché, proposer des offres spécifiques aux PME, et les aider, les accompagner dans ce choix, c’est ce que fait notre partenaire Stoik. Stoik, propose une assurance complète dédiée aux PME, avec des conditions d’éligibilité élargies, à un prix adapté à ces structures. Ils fournissent conseil, audit et sensibilisation.
Quelles solutions de protection pour votre entreprise ?
TEHTRIS : La solution pour les PME
Le coût d’une cyber attaque est élevé mais le coût de l’inaction l’est tout autant voire plus encore. Pourtant, les entreprises ont tendance à penser rapport bénéfice, investissement ou ROSI (Return On Security Investment). Cette opposition entre « culture du risque » et « culture de la productivité » n’est pas pour aider. Il faut changer le paradigme et penser que la sécurité est l’une des conditions de la productivité.
Une bonne sécurité informatique passe par de l’anticipation, c’est pour cela, que TEHTRIS accompagne les PME dans le choix de leurs solutions techniques adaptées à la structure. Il existe des outils à mettre en place en amont pour prévenir les risques, et y remédier.
La solution TEHTRIS OPTIMUS allie la puissance de l’EDR (Endpoint Detection & Response) et l’efficacité de l’antivirus Next Gen au sein d’un agent unique pour détecter et neutraliser les menaces connues et inconnues en temps réel, sans action humaine.
En alliant le meilleur de ces deux technologies, OPTIMUS utilise l’ensemble des grandes fonctionnalités déployées par TEHTRIS depuis 2012, parmi lesquelles la CTI, les sandbox, une base antivirale ou l’intelligence artificielle Cyberia.
TEHTRIS OPTIMUS c’est la simplicité d’une solution clé en main, adaptée aux PME.
La TEHTRIS XDR Platform est aussi une solution adaptée aux PME, car elle permet :
- d’adapter les règles de détection grâce aux renseignements sur les cybermenaces
- une efficacité opérationnelle grâce à la neutralisation hyper automatisée
- une intégration facile
Enfin, les solutions TEHTRIS répondent aux attentes des PME ; à savoir avoir une équipe en proximité pour les accompagner tout en proposant une solution flexible.
Une bonne hygiène cyber
En plus des solutions TEHTRIS et des préoccupations d’usage comme s’assurer d’avoir un gestionnaire de mots de passe, une authentification à deux facteurs (A2F), limiter des droits d’accès, … nous recommandons de :
- sauvegarder les données
- mettre en place un plan de continuité d’activité
- sensibiliser ses employés
Parallèlement à toutes ces actions, le gouvernement français a également pris en charge le sujet.
- En juillet 2021, il a présenté un dispositif d’alerte en cas de cyberattaque. L’ANSSI et cyber malveillance. gouv proposent une note pour les dirigeants, afin de réagir au plus vite. Nous vous recommandons de lire la note de l’ANSSI : https://www.ssi.gouv.fr/guide/la-cybersecurite-pour-les-tpepme-en-douze-questions/
- L’Etat préconise de développer le « security by design » des logiciels vendus aux TPE/PME ; il s’agirait d’un package de solutions simples et adaptées aux PME.
- Il recommande le regroupement d’employeurs.
- Il propose des parcours de formations court en cybersécurité.
- Et enfin il proposer un crédit d’impôt favorisant la formation et ou une aide pour la participation à l’achat d’équipement.
D’autres structures ont privilégié la coalition, c’est le cas de Airbus, Thales, Dassault et Safran qui ont lancé AirCyber en janvier 2019 via BoostAerospace, en 2011, afin d’aider les TPE-PME dans le domaine aéronautique dans l’adoption de solutions de cybersécurité souscrites par les grands comptes. Il s’agit « d’un Programme d’accompagnement mutuel et d’évaluation de la maturité initié par les équipementiers du secteur. »
Voici le lien : https://boostaerospace.com/aircyber/
En Espagne, le plan prévoit une culture de la prévention de la cybercriminalité auprès des citoyens et des entreprises., ainsi que la promotion de la formation et la spécialisation des membres des forces armées en matière de cybersécurité et de cybercriminalité.
La maturité des petites et moyennes entreprises évolue mais elles nécessitent encore d’être accompagnées pour que la culture de la sécurité devienne automatique et évidente. TEHTRIS œuvre chaque jour pour adapter ses produits, ses solutions à toutes les structures, petites ou grandes.
[1] Barracuda Networks, 2022
[2] Acronis Cyberthreats Report Mid-year 2021
[3] Usine Digitale, [Etude] Les pertes dues à la cybercriminalité s’élèvent à plus d’1% du PIB mondial
[4] D’après une étude Gartner publiée le 18/11/2020