Vol de données, demande de rançon, atteinte à l’image, sabotage, usurpation d’identité, espionnage industriel, etc. Ces dernières années, les cybermenaces se sont multipliées de façon alarmante. Logique puisque notre société est devenue de plus en plus numérisée, que les démarches administratives ou commerciales sont de plus en plus dématérialisées, que l’informatique s’est immiscée dans un nombre de taches de plus en plus élevé au point d’en devenir incontournable.
Chacun garde en mémoire la cyberattaque en août de l’hôpital de Corbeil-Essonnes. Victime de pirates qui lui réclamaient une rançon de 10 millions d’euros, l’établissement s’était retrouvé complètement paralysé et avait même dû essuyer une fuite de données concernant ses patients. Mais c’est surtout les PME qui se retrouvent les cibles privilégiées des cyberpirates car elles n’ont pas encore acquis une culture du risque cyber.
« Les structures de taille petite, moyenne et intermédiaire sont particulièrement à risque : en l’absence de dispositifs de protection, elles sont une cible de choix pour les acteurs malveillants qui optimisent leurs gains en attaquant les plus vulnérables. Heureusement, il est possible de faire de la « cyber » une opportunité ! Car en se protégeant – et, par capillarité, en protégeant leurs partenaires – les entreprises assurent leur pérennité et renforcent la confiance qui les lie à leurs parties prenantes », explique l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui multiplie les initiatives de sensibilisation entre ateliers et publication de guides. Le dernier, « La cybersécurité pour les TPE/PME en treize questions », est paru en octobre.
Une entreprise sur deux déjà attaquée
Le sujet touche large : selon le Baromètre de la cybersécurité en entreprise CESIN 2022, plus d’une entreprise française sur deux (54 %) a vécu au moins une cyberattaque au cours de l’année 2021. Des attaques qui se font essentiellement par rançongiciel (+255 % entre 2019 et 2020 selon l’Anssi) avec un préjudice moyen de 50 000 € qui impacte souvent fortement le chiffre d’affaires. Selon une étude Stoïk, le temps de remettre le système informatique en état et éventuellement de récupérer les sauvegardes de données, une entreprise perd en moyenne 27 % de son chiffre d’affaires annuel. Et 60 % des PME attaquées ne se relèvent pas et déposent le bilan dans les 18 mois suivant l’attaque. Les statistiques des cyberattaques pourraient d’ailleurs être encore plus élevées que les chiffres officiels puisque la moitié des entreprises françaises ayant subi une cyberattaque a renoncé à déposer une plainte…
Le paysage de la cybercriminalité a également fortement évolué en raison de la crise du Covid-19. D’abord en maximisant les risques – 47 % des télétravailleurs se sont déjà fait piéger par un hameçonnage – et aussi en diversifiant les méthodes de cyberattaque : 35 % étaient d’un type jusque-là encore inconnu.
Mais la prise de conscience de la menace cyber gagne du terrain. 40 % des entreprises ont investi dans leur cybersécurité en 2021 et 55 % devaient renforcer leur protection pour cette année. Une étude Insight Avenue pour l’éditeur de logiciels de sécurité ESET met en avant que 83 % des responsables de la cybersécurité de PME dans le monde déclarent que la cyberguerre représente « une menace très réelle ».
La France bonne élève
Les PME « prennent la mesure des risques qu’elles encourent avec une volonté d’engager des audits de sécurité, si ce n’est pas déjà fait, ou encore de déployer des solutions. C’est un signe de maturité », analyse Benoît Grunemwald, expert en cybersécurité pour ESET France, qui souligne les deux principales préoccupations et craintes des PME : la perte de données (66 % en France) et les impacts financiers (78 %). Plusieurs éléments relevés par les données de l’enquête confirment en tout cas cette marche en avant à laquelle prennent part activement les PME françaises.
La France figure d’ailleurs parmi les bons élèves : 60 % des PME ont déjà réalisé un audit et 70 % se disent prêtes à confier le management de leur cybersécurité à une société experte du domaine. « De façon générale, les PME qui investissent massivement dans les outils, la formation et l’audit le font suite à une intrusion », constate Benoît Grunemwald. Tout l’objectif est donc, à l’avenir, que le budget cybersécurité soit établi en amont d’une menace, et donc avant qu’elle survienne.
A Toulouse un salon pour les pros
La 4e édition du CBC (Cybersecurity Business Convention), le salon professionnel de la Sécurité numérique pour les entreprises et les collectivités en Occitanie, se déroule ce mardi 22 novembre au Centre des Congrès Pierre Baudis à Toulouse. Organisé par Dépêche Events, filiale du Groupe La Dépêche, avec AD’OCC, l’agence de développement économique de la Région Occitanie et Cyber’Occ, le portail de la Cybersécurité en Occitanie, le salon réunit experts en cybersécurité et acteurs majeurs économiques et institutionnels. Plusieurs tables rondes thématiques sont prévues (acculturation à la cybersécurité, protection des données personnelles, supervision de la sécurité numérique), ainsi que des ateliers (la cybersécurité et la souveraineté numérique, Firewall et systèmes d’exploitation, PIA et protection des données personnelles, chasse aux menaces et cybersécurité) et des animations (simulation de cyberattaques, test de vulnérabilité).100 exposants et partenaires sont sur place pour échanger, sensibiliser et développer réseau et expertise.
Plus d’informations : cbc-convention.com/