La rencontre du 16 février 2024 : la cyberINsécurité dans les TPE-PME

Le D.A.VO.S. des PME®, à l’occasion de son 37ème Café le 13 février dernier, s’est penché sur le thème de la cybersécurité. Une trentaine de personnes ont participé aux échanges avec nos référents : Erick BULLIER (Sciurius Conseil), Frédéric JOUSSEAUME (MG Set), Ariane KLEINHANS (Ordisys), Guy RODIER (Real Time Organization) et Christophe TAVENARD (MG Set) qui nous ont fait part de leur expérience.

Qui est concerné ?

Toutes les entreprises et tous les individus sont la cible d’attaques de cyber malveillance. En effet personne ne peut plus se passer d’informatique et nos entreprises sont des cibles intéressantes et même faciles.
Nous avons pris l’habitude de partager de l’information, des données, et ceci est difficilement compatible avec une sécurité maximale. Comme nous n’avons pas de bonne culture de protection globale, nous sommes tous extrêmement vulnérables.

Quelques chiffres

43 % des attaques visent les entreprises de moins de 50 salariés. Toutes les 14 secondes, une entreprise française est victime d’une attaque par « ransomware » (intrusion avec demande de rançon). 91% des attaques sont réalisées par email.
38% des pièces jointes sont malveillantes.
En cas de problème, qu’est-ce qui se passe et quelles sont les conséquences ?
À partir du moment où un matériel est connecté à Internet, il constitue une porte d’entrée dans l’entreprise : ordinateur, tablette, montre, téléphone, caméra, électroménager… Plus ils sont anodins, moins ils sont protégés.
Une attaque informatique peut prendre plusieurs formes. Toute attaque entraine une dégradation et un possible arrêt de l’activité, temporaire ou définitif. Une intrusion donne accès aux données de l’entreprise qui constituent son patrimoine, son capital. Elles sont des richesses incommensurables pour son activité. Si ce n’est pas ou mal protégé et qu’on les vole, c’est irrémédiablement perdu et cela met la survie de la société en jeu. 63 % des TPE/PME qui subissent des cyberattaques lourdes ferment leurs portes dans les 6 mois ; elles peuvent tout perdre car tout est dans leurs ordinateurs. Le coût médian d’une cyberattaque est de 50.000 € (interruption activité, détérioration du matériel informatique, fuite de données, impact sur sa notoriété (possibilité d’être un vecteur involontaire de propagation d’attaques). Le coût moyen d’une cyberattaque est de 144€, valeur marchande moyenne des informations volées.
Quand on perd ses données, on perd un savoir-faire !

Quelle est la position des TPE/PME ?

Les TPE et PME se désintéressent du sujet de leur cybersécurité si elles ne travaillent pas dans le secteur de l’innovation et à la pointe de la technologie. On peut constater qu’il y a une prise de conscience, mais elle est progressive. Dans tous les cas, une TPE n’a pas de gros moyens à consacrer à cette thématique.

Qu’est-ce qui a changé ?

Les outils d’attaques sont toujours les mêmes depuis 10 ans, mais maintenant, les hackers et leurs cyberattaques se sont professionnalisées.
Ce qui a changé entre hier et aujourd’hui : un simple adolescent farfouille à tout va et peut trouver des informations sur le « Darkweb » (le web sombre, alias souterrain). Il peut être tenté de s’en servir protégé par son écran d’ordinateur.
Le « métier » de hacker est très rentable et facilité avec toutes les données disséminées un peu partout. Il y a quelques décennies, on disposait de systèmes ou gros ordinateurs dans une salle, et toutes les données étaient physiquement centralisées. Mais maintenant, c’est « open bar » avec nos systèmes informatiques ouverts, ou bien nos données éparpillées dans le cloud.

Quelles mesures prendre ?

Les dispositions à prendre consistent à mettre en place des sécurités à tout niveau pour limiter le risque d’intrusion : firewall, VPN, antivirus, mots de passe, mettre à jour ses applicatifs…
Pour préserver ses données, il faut mettre en place des sauvegardes et suivre des méthodes : 3 sauvegardes, dans 2 endroits différents dont 1 externalisé.
Un participant, œuvrant dans une « nano entreprise », confie qu’il s’efforce d’éviter le « cloud », sauvegarde les informations « importantes et/ou sensibles » sur cahier, carnet ou dossier papier, outre les diverses sauvegardes numériques isolées du web. Pour limiter le risque financier, il est possible de souscrire une assurance spécifique à un coût raisonnable, à condition de mettre en œuvre une politique de protection.

Comment s’y prendre ?

Le chef d’entreprise est le seul maître pour faire les choix en matière de sécurité, mais il n’a pas l’expertise dans ce domaine si pointu. Il doit donc s’appuyer sur les compétences de professionnels, un Réfèrent informatique.
Aussi petite soit-elle, la structure doit communiquer avec les professionnels sur ses pratiques et ses besoins afin d’établir un cahier des charges adapté. Il faut se poser la question : est-ce que j’ai une vue et une maîtrise sur mes méthodes ? De là, il va être possible de chercher et trouver la réponse adaptée à chaque problème ou situation rencontrée en respectant :
– La protection de mes données
– La protection de la messagerie
– Où je me connecte
– Comment je me connecte.
Une vision idéale : avoir à faire à plusieurs professionnels, chacun spécialiste d’un aspect du problème, et les faire collaborer ensemble pour obtenir la solution la plus performante et adaptée possible. Faire appel à du sur mesure plutôt que du prêt à porter ou de la ½ mesure.

Attention !

Un piège à éviter : aborder la sécurité par l’angle de la RGPD. Bien qu’il y ait des principes à respecter (lister les activités de traitement, déterminer l’objectif de chaque fichier, son traitement, sa durée de vie…), cela traite les données personnelles que détient l’entreprise, mais pas ses propres données !
Pour sécuriser sa société, il faut avoir une vision globale amont, déterminer un processus de traitement adapté et le surveiller au fil du temps.

En conclusion

La thématique de la cybersécurité couvre un spectre plus large que ce qu’a permis cette session de 2 heures. Toutefois, elle a mis en lumière des principes généraux.
Dans la pratique, seules, les actions de protéger ses dossiers et de pratiquer des sauvegardes sont largement insuffisantes, bien que formellement indispensables. La cybersécurité consiste à analyser ses comportements, ses pratiques, ses besoins, et à mettre en œuvre une politique globale de prévention, de protection et de suivi.
Au vu de l’évolution des pratiques des malfaiteurs, mettre en œuvre une politique de sécurité, ce n’est donc pas se résoudre à établir un programme de sauvegardes, aussi complet soit-il. Il faut étudier les protections amont, la structuration de son système, l’hébergement de ses données, établir un programme de reprise d’activité, définir son organisation interne…
La cybersécurité est un métier impliquant des professionnels qui sont les seuls à avoir une vision globale. Ergonomie, fonctionnalité et sécurité, voilà le triangle vertueux pour protéger nos données.
Une TPE doit prendre conscience de l’importance de se protéger en achetant les services ad hoc, en payant les logiciels adaptés et en s’entourant de professionnels. Aujourd’hui, la qualité de la sécurité a un coût.
Il ne faut pas se poser la question « Comment l’attaque va-t-elle arriver ? » mais « Quand va-t-elle arriver ? ».

Références

ANSSI : l’Agence Nationale de la Sécurité des Systèmes d’Information est l’autorité nationale en matière de cybersécurité. Sa mission est de comprendre, prévenir et répondre au risque cyber.
Cybermalveillance.gouv.fr : référence des personnes certifiées en spécialités informatiques sur tout le territoire. Elle a pour mission d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cyber-malveillance, de les informer sur les menaces numériques et les moyens de s’en protéger.
Angels hackers : il existe une plateforme que l’on peut contacter pour se faire aider sur un problème rencontré.