Cyber-guerre : Les PME sur la ligne de front ...

De plus en plus perfectionnées et focussées sur la mise à mal de la sûreté et de l'économie du pays, les cyberattaques (rançongiciels, hameçonnage, DDoS…), émanent aujourd’hui de toutes les parties du globe. Elles ciblent tout type d’organisations, entreprises, collectivités, hôpitaux, universités, etc…, mais d’après la dernière étude du cabinet ASTERES, ce sont les PME qui sont les plus visées. Sur les 347.000 cyberattaques réussies touchant des entreprises en 2022, il s’avère que 330.000 les concernent. Ce chiffre est plutôt alarmant quand on sait que 60 % d’entre-elles n'ont pas de référent dédié à la cybersécurité et qu’elles ne sont que 25 % à avoir contracté une assurance spécifique pour s'en prémunir… L’étude évalue aussi le coût des cyberattaques à 2 milliards d’euros.

Rapport à ce contexte, David OFER, président de la Fédération française de la cybersécurité, a tenu ces propos en juin dernier : « Le sujet cyber est très bien encadré au niveau des OIV (Opérateur d'Importance Vitale), des grands groupes et des grosses ETI, mais dès que l'on descend vers les TPME, très nombreuses en France, on s'aperçoit qu'il n'y a plus vraiment de prises, car les messages sont dilués et les chefs d'entreprise trop occupés par ailleurs. ».

Pourtant, ils sont bien conscients des problèmes existentiels en matière de cybersécurité, mais ils ne savent pas vraiment comment les aborder.  David OFER poursuit : « Tout un contexte qui fait que le sujet reste trop complexe et trop technique pour eux, alors qu'il faudrait le décliner dans toute l'organisation », avant de conclure : « Quand on parle à des dirigeants qui n'ont rien à voir avec la technique, il faut utiliser des termes simples et compréhensibles pour que tous s'en soucient ».

Pour les bienfaits des PME, un « Cyber-SOS », ayant pour message : « industrialisez les bonnes pratiques », est lancé à tous les acteurs publics et privés pour qu’ils interagissent, à commencer par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Son directeur adjoint Emmanuel NAEGELEN expliquait, lors d’une intervention chez NUMEUM, organisation professionnelle de l'écosystème numérique en France, que la mission de l’ANSSI allait être élargie du fait de la provocation des cyberpirates : « Les attaquants nous posent trois défis. D'abord technique, avec l'utilisation de l'IA pour être meilleurs dans le traitement des données. Le second est le passage à l'échelle, c'est-à-dire à une cybersécurité de masse. Enfin, il faut améliorer la sécurité des solutions, services et logiciels proposés. »

« Cybersécurité de masse » dixit Emmanuel NAEGELEN… Encore un terme qui va faire siffler les oreilles des néophytes en la matière. Il faut vraiment que l’ensemble des contenus soient accessibles à monsieur « tout le monde » car n’oublions pas que la nouvelle directive européenne NIS 2 (Network and Information Security), qui entre en vigueur au deuxième semestre 2024, va concerner bon nombre de PME… Cette directive permettra à l'ANSSI d'augmenter le niveau de cybersécurité de milliers d'entités, allant de la PME aux entreprises du CAC40, sur au moins dix-huit secteurs d'activité qui seront désormais régulés (voir cet article pour en savoir plus).

Protéger les infrastructures de son entité est donc essentiel, mais sensibiliser et former ses collaborateurs aux enjeux cyber est primordial. Gardons à l’esprit que le facteur humain est très certainement le maillon faible de la cybersécurité. Les pirates se servent des collaborateurs comme porte d’entrée vers les Systèmes d’Information, ils privilégient bien souvent les faiblesses organisationnelles aux vulnérabilités informatiques. Il est donc indispensable d’élaborer un plan d’actions, dont la première sera l'établissement d'une charte informatique. La rédaction d'une stratégie de communication en cas de cyberattaque et d'une politique de sécurité des systèmes d'information (PSSI) est également nécessaire, sans oublier les plans de continuité d'activité (PCA) et de reprise d'activité (PRA).

Sources de ce billet.