Le besoin de cybersécurité en entreprise est devenu une réalité quel que soit la taille de l’entreprise. Les ransomware, le phishing, les attaques BEC, les attaques DDOS peuvent toucher tout le monde. Aucune organisation n’est à l’abri d’une attaque. Les structures plus petites non plus, d’ailleurs pourquoi sont-elles particulièrement visées par les cyberattaques ?
On le voit bien, le nombre d’attaques cyber tend à augmenter pour les PME/TPE, leurs systèmes de sécurité étant bien souvent moins élaborés faute de moyens et d’informations ou bien d’application de mesures inadéquates pour prévenir les menaces cyber. Les dirigeants doivent prendre conscience du risque et des enjeux en adoptant une solution adaptée tout en faisant face à des Investissements coûteux, et en formant leurs équipes.
Pourquoi les petites et moyennes entreprises sont la cible de cyberattaques ?
Commençons cet état des lieux par bien définir les notions de PME, TPE, ETI.
PME : « Les petites et moyennes entreprises sont celles qui, d’une part, occupent moins de 250 personnes, et d’autre part, ont un chiffre d’affaires annuel n’excédant pas 50 millions d’euros »
INSEE
- PME : « Les petites et moyennes entreprises sont celles qui, d’une part, occupent moins de 250 personnes, et d’autre part, ont un chiffre d’affaires annuel n’excédant pas 50 millions d’euros » (INSEE)
- TPE signifie « très petites entreprises », « elles n’ont pas plus de dix salariés, ont un chiffre d’affaires qui ne dépasse pas deux millions d’euros. » (Infonet)
- ETI est « une entreprise de taille intermédiaire dont l’effectif est inférieur à 5 000 personnes et dont le chiffre d’affaires annuel n’excède pas 1 500 millions d’euros » (écono Gouv.fr)
Face à ces attaques, les PME sont-elles bien préparées ? équipées ? protégées ?
En parcourant les chiffres ci-dessous, nous voyons bien les faits marquants et pouvons déjà répondre en partie à ces questions. On note toujours le manque de connaissance sur les enjeux cyber et le manque de maturité en matière de sécurité, même si ce sujet tend à évoluer.
La pénurie de compétence au sein des équipes techniques, qui pour la plupart vont préférer les grands groupes, et enfin le budget serré dédié à la cyber sécurité s’ajoutent à la liste des axes d’amélioration à envisager.
Quelques chiffres :
- 95% des chefs d’entreprises déclarent avoir l’impression de bienc connaître ce qu’est la cybersécurité.*
- 1/3 des TPE/PME déclare avoir un spécialiste informatique en charge de la cybersécurité de leur entreprise.*
- Pour 6 entreprises sur 10, le budget alloué à la cybersécurité ne dépasse guère 1 000€ / an.**
- Seul 1 chef d’entreprise sur 2 a recours à un VPN.**
*Sondage IFOP 2021
**Étude révélée par Europe 1 en 2021
Minimisation des risques
Les PME/TPE n’accordent pas toujours la priorité à la prévention des attaques. Les demandes de rançon, l’atteinte à la réputation, le déni de service ou le sabotage, tous ces risques ne sont parfois pas ou peu envisagés par les petites structures. Ces dernières pensent que les attaquants préfèrent s’attaquer aux grandes entités.
54 % des PME se pensent à l’abri d’une cyberattaque parce que leur taille ne serait pas assez importante.
ANSSI
Le rapport d’information n°678 du Sénat affirme pourtant qu’en 2020, « 43% des PME ont constaté un incident de cybersécurité ». L’agence nationale de la sécurité des systèmes d’information (ANSSI) note, en mars 2020, une hausse de 400% de tentatives de phishing. Forrester Consulting déclare qu’« entre novembre 2020 et janvier 2021, la part de PME/TPE de moins de 250 salariés touchées par les cyberattaques s’élevait à 33% au cours des 12 derniers mois. »
Ces chiffres prouvent bien que les grandes structures autant que les plus petites peuvent être la cible de cyber attaquants. Tout le monde doit se sentir concerné. Pourtant, selon Source IT en 2021 « parmi les 47% de PME qui ne font pas de la cybersécurité une priorité, 40% déclarent avoir subi une attaque ayant entraîné une perte de chiffre d’affaires pour 50% d’entre elles et une interruption de la production pour 23% ». Cette idée de l’importance de la cybersécurité dans la stratégie d’entreprise reste encore sous-estimée.
Pour exemple, le groupe de lingerie Lise Charmel a été victime d’un ransomware en 2019. Les 1 150 salariés du groupe ont été touchés et la société a été placée en redressement judiciaire.[1]
Enfin, citons ces derniers chiffres en matière d’outillage, « 97% ont recours à un antivirus, 88% à un pare-feu, 79% mettent en place une sauvegarde de données gérée en interne par leurs équipes »1. Le fait de posséder un seul antivirus les amènent à penser, pour certains, que le risque est couvert ou que l’équipement est protégé oubliant ainsi les mises à jour et le fait que les antivirus ne détectent que sur la base d’attaques déjà connues. Ce manque de culture numérique leur fait prendre un grand risque.
Nous pouvons tout de même modérer ces propos depuis la pandémie et l’avènement du télétravail. Les entreprises se sont équipées et prennent en considération de plus en plus les risques cyber.
Maturité en matière de cybersécurité
60% des PME technologiques européennes ont des ressources insuffisantes pour garantir leur protection cyber.
Oliver Wyman – European Digital Sovereignity
L’autre volet que l’on aborde ici est la faiblesse de la maturité en matière de sécurité constaté dans les PME/TPE.
Même si « 99% des chefs d’entreprise déclarent avoir recours à au moins un outil spécifique pour protéger son entreprise », seulement « 1 chef d’entreprise sur 2 a recours à un VPN »[2].
Le constat qui est fait est que peu de dirigeants de PME/TPE sont suffisamment accompagnés dans le choix de leurs solutions de sécurité. Dans le cas où des référents informatiques existent, ceux-ci ne sont pas obligatoirement des spécialistes cyber.
Autre problématique soulevée. Quand ces structures de tailles moyennes sont équipées, la moitié des fonctionnalités ne sont pas activées et les outils pas bien paramétrés par manque de connaissance, laissant libre court aux attaquants. Il y a donc une véritable carence en matière de protection.
De plus, on voit bien que toutes les petites structures ne disposent pas de services en interne et à cela s’ajoute le fait que les salariés ne sont pas toujours formés à la cyber sécurité. Or la maturité en matière de sécurité passe aussi par la sensibilisation de son personnel. Force et de constater qu’il y a encore des manques ou des faiblesses sur ce point.
Il est essentiel de rappeler régulièrement et de manière pédagogique que cliquer sur un lien piraté est dangereux, que changer des mots de passe régulièrement est important, qu’avoir un mot de passe fort est primordial, que l’authentification multi facteur est essentiel, que l’usage de son téléphone ne doit pas se faire dans le cadre professionnel. Ces fondamentaux doivent être rappelés.
Pénurie de compétences
Comme nous l’avons précisé, un des problèmes majeurs auquel font face les PME /TPE est le manque d’effectif dédié à la cybersécurité au sein de leur structure. Selon le rapport du Sénat « la ressource humaine devient pratiquement inaccessible ». Selon le rapport de wavestone5, plus de 15 000 postes sont disponibles mais non couverts. Les compétences sont de plus en plus rares compte tenu des besoins et cette carence touche plus particulièrement les petites structures qui ne parviennent guère à concurrencer les offres des grands groupes et à attirer les talents. Selon, l’enquête de l’Ifop[1], « 1 PME sur 5 n’a aucun membre prenant en charge la sécurité informatique » et « un tiers des entreprises de 20 à 249 salariés ont un collaborateur dédié à ces sujets ». C’est donc le chef d’entreprise lui-même qui est amené à gèrer les problèmes de sécurité. Ces entreprises n’ont pas toujours le réflexe de s’appuyer sur des experts.
Problématique budgétaire
« Pour six entreprises françaises sur dix, le budget alloué à la cybersécurité ne dépasse pas 1 000 euros par an »
Étude Europe 1
Les petites structures sont de plus en plus conscientes des efforts qu’elles doivent consentir pour la cyber sécurité. Les récents évènements en Ukraine et la pandémie mondiale, qui ont favorisé les attaques, ont réveillé les consciences. Cependant, les budgets alloués ne sont pas encore suffisants. La complexité des attaques nécessite de s’équiper de plusieurs outils impliquant des coûts. « Sur le budget informatique global des entreprises, 6,1% est dédié à la sécurité »[3].
Les PME s’équipent souvent de produits gratuits et se sentent sécurisés. Elles ne comprennent pas pourquoi il faudrait payer pour être protégées alors qu’elles pensent pouvoir l’être sans grever leur budget. Le problème est que les menaces inconnues n’entrent pas dans la base de signature d’un antivirus. C’est pour cela qu’il faut recourir à une solution hyper automatisée et hyperindustrialisée. Il y a donc un vrai besoin d’accompagnement auprès de ce public. Il est urgent de sensibiliser, de conseiller, d’accompagner et d’établir des systèmes de cybersécurité dans ces entreprises. Les PME ne disposent pas encore de « produits adaptés » à leur budget.
TEHTRIS EDR est une solution fournie en mode SaaS, via le cloud, avec une capacité de prévoir, prévenir, détecter et réagir au niveau cybersécurité. L’EDR de TEHTRIS est souverain, hyper automatisé et neutralise automatiquement les menaces connues ou inconnues en temps réel et sans action humaine.
Enfin, notons que pour l’ANSSI, le budget dédié à la sécurité pour une entreprise devrait représenter 5 à 10 % du budget global.
Nous avons vu que les entreprises de taille moyenne sont souvent limitées en ressources financières, technologiques et humaines. C’est la raison pour laquelle TEHTRIS recommande sa TEHTRIS XDR Platform qui est modulaire dans la mesure où chaque organisation peut ajouter des modules additionnels si besoin. La TEHTRIS XDR Platform permet de protéger les postes de travail, les serveurs, les mobiles et tablettes, les réseaux et flux des attaques et neutralise les menaces. Cette offre est particulièrement adaptée aux problématiques des PME à partir de 100 postes.
Notre solution permet :
- d’adapter les règles de détection grâce aux renseignements sur les cybermenaces.
- une efficacité opérationnelle grâce à la neutralisation hyper automatisée.
- une intégration facile.
Les points forts de notre solution sont, entre autres, de proposer une offre personnalisée, facile à déployer, hyper automatisée, flexible. Cette solution s’adresse autant aux grands groupes, Etats, collectivités locales qu’aux PME.
Les plus petites structures ne doivent pas être des cibles passives d’attaques, elles doivent réagir et anticiper. Il en va de leur survie. TEHTRIS l’a prévu. En dessous de 100 postes, notre offre TEHTRIS Store permet d’équiper les postes Windows avec la technologie TEHTRIS EDR adaptée, paramétrée pour les entreprises conscientes du risque de rançongiciels.
En complément, n’hésitez pas à lire notre article sur les enjeux de la sécurité informatique et les solutions à apporter.
[1] Tribune de Lyon, 3 mars 2020
[2] European Digital Sovereignity – Oliver Wyman – octobre 2020
[3] IFOP, les dirigeants d’ETI face à la menace cyber-point de situation, 2018