L’affolant retard des PME dans la cybersécurité.
Les petites et moyennes entreprises continuent de sous-estimer les risques qu’elles courent face à la cybermalveillance. Une situation qui préoccupe les pouvoirs publics et les organisations professionnelles, qui tirent une nouvelle fois la sonnette d’alarme. Par Franck Niedercorn
Attention danger ! Et si ses 4 millions de PME constituaient désormais le principal talon d’Achille de l’économie française face à la cybermalveillance ? Les organisations patronales (Medef, U2P et CPME), l’organisme cybermalveillance.gouv.fr (qui dépend de l’Anssi, l’Agence nationale de sécurité des systèmes d’information) et le Club Ebios (une association spécialisée dans la gestion des risques) viennent de lancer une opération conjointe, baptisée ImpactCyber, pour « les inciter à se sécuriser ».
Il y a tout juste un an, c’était l’Institut Montaigne qui, tirait le signal d’alarme. Insistant sur la fragilité des PME, il proposait un éventail de mesures, comme la création d’un « référent à la sécurité numérique » pour chaque entreprise ou l’instauration d’une simulation annuelle d’alerte cyber, comme on le fait pour les incendies. Depuis lors, l’Etat a favorisé l’apparition de centres de réponse aux incidents cyber (CIRT) dans chaque région afin de prendre en charge les PME et suppléer l’action de l’Anssi, qui s’occupe des grands comptes.
Le maillon « le plus faible »
Les petites entreprises tardent pourtant à s’adapter. Une majorité des TPE-PME consultées dans le cadre de ImpactCyber se montrent conscientes du danger, mais elles sont tout aussi nombreuses à reconnaître qu’elles sont insuffisamment protégées. « En somme, les entreprises savent qu’elles courent un risque, mais en sous-estiment l’impact. C’est le syndrome du parcmètre : on choisit de ne pas payer, en comptant sur la chance et en pensant que les économies réalisées serviront à payer la contravention », explique Franck Gicquel, directeur des partenariats de cybermalveillance.gouv.fr.
On estime que parmi les TPE de moins de dix salariés ayant subi une attaque, une sur deux disparaît au bout de dix-huit mois.Benjamin Langlet, Responsable risques cyber chez Hiscox en France
Les risques vont bien au-delà d’une simple amende. Le phénomène devient massif : selon l’assureur Hiscox, 53 % des PME auraient signalé une attaque l’an dernier, contre 38 % en 2020. « Les grandes entreprises sont désormais protégées comme des forteresses si bien que les cyberdélinquants se sont adaptés », résume Loïc Guézo, vice-président du Clusif (Club de la sécurité de l’information français), une association qui réunit les secteurs économiques autour de la sécurité du numérique. Avec, à la clé, un risque systémique.
« La résilience sociale et économique, non seulement des territoires, mais de l’ensemble du pays, est ici en cause, par le jeu des interdépendances. Car la sécurité de l’ensemble n’est jamais que celle de son maillon le plus faible », alertait l’Institut Montaigne.
Jusqu’à la mort de l’entreprise
En moyenne, le coût financier moyen d’une cyberattaque s’élève à environ 15.000 euros selon Hiscox, mais grimpe à plus 230.000 euros dans 12 % des cas. Et pour neuf entreprises sur dix, les conséquences sur les mois qui suivent peuvent aller bien au-delà : perte de clients, de partenaires commerciaux, dégradation de l’image débouchant souvent sur la dégradation de la situation financière. Voire la mort de l’entreprise. « On estime que parmi les TPE de moins de dix salariés ayant subi une attaque, une sur deux disparaît au bout de dix-huit mois », explique Benjamin Langlet, responsables risques cyber chez Hiscox en France.
De plus, la cybermalveillance ne cesse d’évoluer. Les attaques par rançongiciels, consistant à paralyser le système d’information de l’entreprise contre une demande de rançon, restent les plus courantes. C’est ce qui est arrivé en décembre dernier à Coaxys, un fournisseur informatique de Marmande (Lot-et-Garonne) qui héberge l’activité de 1.200 experts-comptables dont l’activité s’est retrouvée bloquée. « Ce prestataire était bien protégé, si bien que les attaquants n’ont pu accéder aux données des clients. Mais il a fallu quatre semaines pour faire redémarrer l’activité de façon normale », explique Guy Flament, le directeur du Campus régional de cybersécurité et de confiance numérique de Nouvelle-Aquitaine.
« Au papier et au stylo »
A Cestas, en Gironde, le système d’information du groupe de transport routier Guyamier a, lui aussi, été bloqué à la suite d’une attaque qui a profité d’une simple erreur du partenaire informatique sur la configuration de sécurité sur une imprimante. « Pendant quatre semaines, nous sommes revenus au papier et au stylo », raconte son dirigeant, Nicolas Guyamier, évoquant une période de « stress intense ».
Une autre menace se généralise. Celle des faux ordres de virements bancaires, fraude qui repose sur le détournement de comptes de messagerie par un pirate se faisant passer pour un fournisseur, qui se fait transférer des fonds. « Les PME communiquent essentiellement par e-mail et font beaucoup trop confiance au numérique. Une boîte de messagerie est facile à compromettre. Un courriel est très simple à détourner et il n’offre pas plus de garantie qu’une carte postale », prévient Loïc Guézo, vice-président du Clusif.
Les PME vont devoir faire des efforts. Sur les 1.200 prestataires référencés pour l’opération ImpactCyber, 200 seulement ont été labellisés. La pression viendra parfois des donneurs d’ordres. En début d’année, le ministère des Armées et huit grands industriels ont lancé avec le soutien de l’Anssi la définition d’un « Référentiel de Maturité cyber » qui pourrait concerner les 2.000 entreprises du secteur.
L’Europe a aussi pris les choses en main à travers sa directive NIS2 (Network and Information security), qui impose un ensemble de normes en matière de cybersécurité aux entreprises de secteurs jugés critiques. Le texte, qui devait être transposé en 2024, n’a pas encore été débattu au Parlement français. Il prévoit d’élargir le périmètre des entités sensibles qui doivent renforcer leur cybersécurité. Ce périmètre devrait concerner 10.000 de ces entités, contre moins de 700 aujourd’hui.