Les TPE - PME sont devenues des proies de premier choix pour les cyberattaquants
Impactées dans près de 40% des cyberattaques ces dernières mois, les PME sont devenues des cibles de premier plan pour les cyberattaquants. Et ces 12 prochains mois seront encore à haut risque.
Les organisations de moins de 250 salariés ne s’imaginent pas être des victimes potentielles, pensant, à tort, que la cybermenace est plutôt l’affaire des grands groupes et des autres. Or les récents rapports ont montré leur fragilité, faute de disposer de systèmes d’informations adéquats.
Et ces 12 prochains mois seront encore à haut risque, avec les grands événements sportifs qui se profilent : la Coupe du Monde de rugby, les JO de 2024. Il est crucial pour la santé économique des entreprises, quelque soit leur taille et l’activité, mais aussi pour la stabilité géopolitique des pays, d’anticiper et de savoir réagir.
Toute donnée est désormais bonne à prendre
Il y a encore peu, les cibles des cyberattaquants étaient étudiées : des hôpitaux ont été pris pour cible car ce sont des structures qui n’ont pas le temps de négocier car un système informatique en berne met à mal la santé des patients. Les grands événements également : 4 Mds d’attaques ont été recensées lors des JO de Tokyo, soit 815 représailles par seconde. Et les enjeux sont énormes : la perturbation d’un système de métro peut mettre à mal la réputation d’une mégalopole, le blocage d’une billetterie peut être un prétexte pour perturber l’activité économique d’un Etat…
Alors que les grandes organisations ont investi pour se protéger en même temps qu’elles se faisaient attaquer, les hackers s’en prennent désormais à des proies plus fragiles : les Mairies, les petites entreprises, les associations… Des structures qui ne sont pas outillées, et qui ne sont pas dénuées d’intérêts car elles demandent moins de vigilance du point de vue des hackers, et permettent de démultiplier les attaques, et ainsi récolter facilement de la donnée en grand nombre.
Une nécessité de mieux « armer » le citoyen
Le cyberrisque n’est pas qu’une affaire de technique. Il ne suffit pas de générer des lignes de code pour créer des barrières virtuelles infranchissables. A l’instar du vaccin contre la COVID-19, il a fallu adopter des gestes barrière pour se protéger durablement du virus, à la fois dans sa sphère privée et professionnelle. Se prémunir contre la cybermenace est similaire : il est nécessaire de sensibiliser la population au danger et apprendre les bons gestes.
Des avancées existent, comme la création dans les territoires des CSIRT (Computer Security Incident Response Team) qui agissent en tant que hotline face aux incidents cyber. Ils traitent les demandes d’assistance émanant d’acteurs de taille intermédiaire (PME, ETI, collectivités et associations) et les mettent en relation avec des partenaires de proximité, plus prompts à réagir. Il y a aussi la directive NIS2 qui impactera environ 600 types d’entités différentes, parmi elles des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.
Il est nécessaire de se regrouper, de mutualiser des actions pour faire face.
Un manque de compétences face aux risques élevés
Un autre grand enjeu est celui de la formation. Nous ne disposons pas suffisamment de personnes formées à répondre aux risques de plus en plus élevés. Une étude de l'Institut Montaigne a montré que près de 10% des emplois ne seraient pas pourvus dans le secteur du numérique, soit environ 85 000 postes. Et trois-quarts concernent les métiers de la cybersécurité. Or, un DSI n’est pas un RSSI : il y a des jargons très techniques à appréhender. Il est important aussi de souligner que la risque cyber concerne tout le monde, pas uniquement le service informatique.
A la vue de l’état des menaces qui ont un impact négatif sur l’économie et dans les secteurs de la vie quotidienne, il est urgent de bâtir un véritable projet de sécurité nationale : plus d’investissements, plus de formation et plus d’applications pour mener à bien les défis qui nous attendent.