PME & ETI : de l'urgence d'anticiper dès à présent les cyberattaques de demain, voire d'aujourd'hui !

Longtemps sous-estimées par les dirigeants de PME et ETI, la recrudescence des cyber-attaques depuis la crise sanitaire a entraîné une certaine prise de conscience de leur vulnérabilité.

Depuis des années, les cyber-risques n’ont de cesse d’augmenter. Aussi, si la menace a longtemps été sous-estimée par les dirigeants de PME et ETI, la recrudescence des attaques depuis le début de la crise sanitaire - faisant notamment suite à la généralisation du télétravail - leur a fait prendre conscience de leur vulnérabilité, entrainant chez beaucoup d’entre eux un sentiment assez nouveau : la peur. Une inclination parfaitement justifiée lorsque l’on sait que ces mêmes PME et ETI, encore trop peu armées pour se défendre efficacement contre ce type de risques, sont la cible privilégiée des cybercriminels. Et quand bien même ! Face à ces organisations malveillantes, disposant toujours d’un train d’avance sur les technologies engagées, l’espoir de contrer de telles attaques est très mince, si ce n’est inexistant. Les chiffres sont là pour le prouver : rien qu’en 2021, deux tiers des entreprises françaises ont subi au moins une tentative de fraude, et 20% d’entre elles ont éprouvé plus de 5 attaques(1) ! Or, outre les atteintes morales, les pertes financières peuvent être élevées : un tiers des entreprises victimes ont en effet accusé un préjudice supérieur à 10 000 euros, voire à 100 000 euros pour 14% d’entre elles1 ! Plutôt que de céder à la panique, la clé réside ici dans l’anticipation. Un processus de préparation qui passe par quelques actions simples, mais néanmoins fondamentales

Se préparer à l’inévitable menace…

Les cyberattaques à l’encontre des entreprises retournent aujourd’hui principalement de l’extorsion. Via des campagnes d’hameçonnage, les cybercriminels sont en mesure de détourner directement des fonds ou de voler des données pour obtenir ensuite une rançon. L’argent obtenu est ensuite blanchi via l’achat de biens de grande consommation orchestré par des entreprises étrangères fictives actives dans la revente sur différentes marketplaces. De fait, ces délinquants numériques ciblent à l’aveugle tout type d’entreprises, privilégiant toutefois les PME et ETI. Car alors même que les coûts de fonctionnement informatique sont déjà importants pour ces dernières, elles ne sont pas en mesure de consacrer le budget nécessaire à un dispositif de cyber-protection à même de contrer ces attaques. Leur seule planche de salut réside donc dans leur capacité à réagir avec sang-froid, de manière structurée et organisée, lorsqu’une menace survient. La cybersécurité est en effet souvent considérée à tort comme un sujet purement technique. L’humain joue pourtant un rôle prépondérant en cas d’attaque. Comme ce serait le cas à l’annonce d’une mauvaise nouvelle dans sa vie personnelle, le chef d’entreprise va le plus souvent changer soudainement d’état d’esprit, entrant alors dans une phase de sidération où il peut perdre toute lucidité. Cette déstabilisation est une véritable munition pour les hackeurs, au même titre que les armes techniques de brouillage. Or pour éviter cela et être immédiatement dans l’action, il convient de se préparer.

… aux niveaux organisationnel, technique et communicationnel !

Outre le fait de souscrire à un contrat d’assurance spécifique, le processus de préparation aux cyber-menaces comprend plusieurs volets. Un axe organisationnel d’abord, visant à identifier les acteurs à solliciter le cas échéant, à mobiliser une cellule de crise, à établir une chaine de réaction, et à réaliser des mises en situation pour s’entrainer collectivement et ajuster un maximum de dysfonctionnements. Un axe technique ensuite, dont l’objectif est de mettre en place des leviers d’obtention d’informations sur les plateformes informatiques, de sorte à disposer de traces et de preuves qui seront utilisables par les enquêteurs suite à un dépôt de plainte. Il convient également de s’interroger dès à présent sur la communication, tant en termes de moyens à utiliser – les outils habituels (mail, téléphone, visio…) étant potentiellement corrompus – que sur les messages à véhiculer. Pour éviter toute information erronée ou volontairement déformée, le mieux reste de communiquer rapidement et de façon précise et détaillée, aussi bien à l’interne qu’à l’externe. L’entreprise, outre le fait de rassurer ses salariés et de maintenir de fait une certaine cohésion d’équipe, pourra ainsi renverser la tendance : elle véhiculera une image positive auprès de ses clients et prospects par sa bonne gestion de la crise, sa transparence sur le sujet, voire son rôle d’évangélisation.

En avance de phase, il est par ailleurs recommandé de souscrire à un service de supervision de la sécurité, ou a minima de réaliser une veille cyber. Il sera ainsi possible de détecter les traces et tentatives d’intrusion dans le système d’information de l’entreprise mais aussi et surtout les informations concernant la société pouvant être mises en vente sur des forums de pirates informatiques. De quoi identifier une attaque dès ses prémisses et pouvoir y réagir efficacement. Enfin, parce qu’une erreur humaine est impliquée dans plus de 90 % des incidents (clic sur un lien de phishing, consultation d'un site web suspect, activation de virus ou autres menaces persistantes…)(2), il est essentiel de sensibiliser régulièrement ses collaborateurs aux bonnes pratiques en matière de sécurité. En ce sens, l’édition d’une charte informatique ou d’une politique de sécurité est également un point important, d’autant plus lorsque l’on sait que l’entreprise peut être tenue pénalement responsable en cas de négligence ayant conduit à une cyberattaque

(1) Baromètre Euler Ermes 2021

(2) Selon l'indice relatif à la veille stratégique en matière de sécurité d'IBM