Chaque semaine ou presque, une grande entreprise est victime d’une cyberattaque. Or, si les grands groupes ont des enjeux financiers considérables et que de nombreux emplois reposent sur leur stabilité, nous devrions également nous intéresser à la protection de toutes les autres entreprises dont on ne parle pas ou insuffisamment – les microentreprises, les PME et ETI.
Ces entreprises sont le véritable cœur de notre économie et le principal moteur de la création d’emplois en France (70 % des salariés). Dans le même temps, elles sont laissées à la merci des cybercriminels, avec des conséquences financières potentiellement désastreuses pour l’organisme.
67% des entreprises françaises ont été victimes d’un cyber-incident en 2018
Paradoxalement, la cybersécurité est aujourd’hui une préoccupation pour 76% des PME, ce qui est encourageant (Source : IFOP).
Même si le niveau de maturité et de préparation des grandes entreprises est hétérogène selon les secteurs, ces dernières sont relativement bien sensibilisées et se donnent les moyens pour analyser leurs risques et mettre en place des (contre)mesures et solutions adaptées. À l’opposé, les petites et moyennes entreprises n’ont généralement ni la culture de la cybersécurité, ni les ressources et moyens financiers et techniques nécessaires pour faire face aux menaces.
D’après un rapport mené par le Cabinet Forrester (pour la compagnie d’assurance Hiscox – Rapport cyber-sinistres Hiscox 2018), 67% des entreprises françaises ont été victimes d’un cyber-incident sur l’année 2018. Les PME ont été clairement de plus en plus visées par les cybercriminels puisque 47% des entreprises de moins de 50 salariés ont déclaré avoir été touchées en 2018 contre 33 % l’année précédente, et 63% des entreprises de taille moyenne (50 à 249 employés) assurent avoir été victimes en 2018 contre 36% en 2017.
Sachant que les entreprises ne savent pas forcément si elles sont victimes ou non, ces chiffres déjà éloquents ne reflètent sûrement pas complètement l’ampleur des dégâts !
L’étude Forester estime également la perte financière consécutive aux cyberattaques : elle serait de 97 717 euros actuellement en France alors qu’elle était estimée à 43 528 euros en 2018, soit une augmentation de 125 % en un an.
Un pillage organisé à grande échelle
Ces chiffres illustrent assez bien le pillage organisé à grande échelle contre nos entreprises. Que cela soit un vol de données confidentielles ou un détournement de fonds par le biais d’un malware, d’un ransomware, d’un phishing, ou encore de fraude au président, la cybercriminalité est vécue au quotidien par un grand nombre d’entreprises.
Prenons un exemple concret avec une ETI – représentant une chaîne de magasins en région, comprenant plusieurs centaines de salariés et préférant rester anonyme – récemment victime d’un piratage. L’entreprise a vu, en quelques minutes seulement, l’ensemble de son réseau rendu inopérable et ses données chiffrées par un ransomware. Pour récupérer ces dernières et reprendre son activité, la société a dû s’affranchir d’une somme de 150 000 euros auprès de cybercriminels.
Dans un cas comme celui-ci, l’entreprise va presque systématiquement garder l’affaire secrète. Elle ne veut pas attirer l’attention d’autres attaquants ni voir son image ternie auprès de ses prospects et clients. Il y a en effet une sorte d’Omerta – la référence à la mafia n’est pas anodine – qui pèse sur nos petites et moyennes entreprises, ainsi que nos ETI.
Soulignons que des initiatives existent : les CCI proposent des conférences de sensibilisation pour les entreprises, l’État a mis en place le dispositif Cybermalveillance.gouv.fr destiné à mettre en relation les entreprises victimes avec des prestataires de proximité, et bien d’autres actions encore.
Cependant, les PME n’ont pas facilement accès aux services de cybersécurité : les sociétés de services informatiques "classiques" ne disposent généralement pas des compétences suffisantes en matière de sécurité numérique, or, ce sont des spécialistes en cybersécurité qui peuvent intervenir très rapidement pour tenter de trouver une solution à une attaque par ransomware. En ayant recours à ce type de prestataires spécialisés en cybersécurité, l’ETI précitée aurait pu s’en sortir sans dommages pour quelques milliers d’euros. Dans l’urgence et alors qu’elle était soumise à un stress intense, elle en a finalement perdu 150 000.
Certains experts estiment que dans la majorité des cas, les ransomwares connus peuvent être déchiffrés pour permettre de récupérer les données séquestrées. Cela doit être un vrai message adressé aux entreprises pour les inciter à ne pas payer les cybercriminels et à prendre un peu de recul pour s’adresser aux acteurs publics et privés compétents.
Attention, comprenons bien qu’il ne s’agit en aucun cas d’incriminer les entreprises payant ces rançons. Elles ont simplement besoin d’être mieux guidées pour accéder aux ressources compétentes qui doivent être mieux fléchées. En effet, de plus en plus d’éditeurs de solutions et de prestataires de services adaptent leurs offres aux budgets des PME.
L’enjeu est trop important pour notre économie et toutes les entreprises doivent pouvoir profiter des nouvelles technologies – liées aux objets connectés et au Cloud par exemple – pour se créer de nouvelles opportunités. Dans tous ces projets, la cybersécurité doit aujourd’hui être intégrée et vue comme un enjeu business. Sans compter que les PME et ETI sont souvent fournisseurs ou prestataires de grands groupes qui demandent de plus en plus de garanties en matière de sécurité numérique.
Le directeur général de l’ANSSI, Guillaume Poupard, expliquait très bien lors du Forum International de la Cybersécurité 2019 que "pour atteindre les grands groupes, les cyberattaquants (avaient) bien compris qu’il était plus simple de s’en prendre à leurs prestataires ou fournisseurs, là où toutes les mesures de sécurité n’ont pas forcément été mises en œuvre, pour des raisons de coût". Il est donc important pour les grandes entreprises d’assurer la protection de l’ensemble de leur chaîne de valeur.
Enfin pour ne plus laisser nos entreprises seules face à la cybercriminalité, la sensibilisation doit être plus forte et plus accessible (via des formations en ligne par exemple). Une fois que tous les acteurs, dont CEIS Cyberdéfense fait partie, seront vraiment engagés sur ce chemin (sensibilisation, offres adaptées, fléchage vers les bonnes offres et services, etc.), un cercle vertueux se mettra en place et permettra sans doute de libérer la parole des "petites" victimes sur le sujet de la cybercriminalité.