Cybermenaces et gestion des risques : une question de survie pour les PME

Face à une multitude de crises (énergétique, climatique, géopolitique, etc.), tour d'horizon des mesures à prendre pour accompagner les PME dans l'anticipation des menaces pesant sur leurs intérêts ?

Sanitaire, énergétique, climatique ou géopolitique, les crises nous rappellent brusquement que nous ne sommes pas à l’abri de menaces structurelles. Nos PME, dont les moyens sont plus limités, semblent plus vulnérables que les grandes entreprises. Comment accompagner ces poumons de l’économie française (3,9 M d’emplois selon l’INSEE) dans l'anticipation des menaces contre leurs intérêts ?

Cyberattaques : risque majeur du XXIème siècle

Des exemples récents le prouvent, les hackers visent autant les institutions (hôpitaux, mairies) que les grands groupes (Thales par exemple). Mais ce sont bien les PME qui demeurent les plus touchées, puisque 34 % des cyberattaques en France ciblent les TPE, PME et ETI, selon l’ANSSI. Or, une cyberattaque peut mettre une organisation en péril : une entreprise met en moyenne trois semaines à retrouver un rythme normal après avoir été ciblée (source : Wavestone). Se prémunir contre le risque cyber relève de la survie, d’autant plus que la moitié des entreprises dont le système d’information a été bloqué pendant plusieurs semaines a fait faillite dans les 6 mois qui ont suivi (source : Hiscox). 

Pour se protéger, la sensibilisation des salariés est fondamentale car les collaborateurs sont la cible de 9 cyberattaques sur 10 (selon le Boston Consulting Group). Au-delà, l’entreprise doit sanctuariser ses outils informatiques, notamment dans un espace de travail désormais hybride, où le bureau peut aussi bien se trouver dans les locaux qu’au domicile des salariés. Enfin, la sauvegarde à froid est indispensable pour ne pas mettre en péril ou perdre les données de son organisation lors d’une cyberattaque.

Diversifier ses sources d’approvisionnements et d’activités

Faire reposer l’approvisionnement ou l’activité de son entreprise auprès d’un acteur unique est un second risque majeur auquel les PME peuvent être confrontées. Un risque illustré par la crise énergétique traversée par l’Europe ou par la menace que ferait peser un envahissement de Taïwan par la Chine sur l'approvisionnement mondial en semi-conducteurs. 

A l’échelle d’une PME, une alternative systématique à un fournisseur unique doit être pensée et anticipée afin de ne pas voir son activité interrompue. De la même façon, la constitution de stocks stratégiques est indispensable pour la pérenniser en cas de crise. Enfin, en matière de clients, certains spécialistes conseillent aux PME de n’avoir aucun portefeuille dépassant 30 % de leur chiffre d’affaires. 

Le partage des connaissance : un pré-requis pour éviter de dépendre d’un salarié historique

Selon l’INSEE, l’effectif moyen d’une PME française est de 20 salariés parmi lesquels peuvent figurer des collaborateurs “historiques”, disposant de compétences-clés ou d’une expertise rare. Pour pallier tout problème ou absence de longue durée (maladie voire décès), la transmission des connaissances est nécessaire afin de ne pas perdre des informations précieuses et difficilement remplaçables.

Pour s’en prémunir, le partage et la transversalité sont de rigueur. Ainsi, le partage de mots de passe dans un espace sécurisé et la définition d’une procédure pour réagir à ce type de situation peuvent être des éléments de réponse. Il est par ailleurs indispensable de mettre en place et proposer à tous les collaborateurs un logiciel de partage de connaissance (knowledge management), afin que ces derniers puissent avoir accès à toutes les informations-clés, nécessaires pour que l’activité subsiste en toute continuité. 

Face au retour du risque - mais avait-il réellement disparu ? - dans nos sociétés, les TPE/PME semblent particulièrement vulnérables en raison de moyens et d’effectifs plus limités. Pour faire face, le maître-mot est l’anticipation et la structuration de process de gestion de crise. S’ensuivra ensuite un travail d’identification des risques et la mise en place de cellules de crise destinées à faire face aux risques critiques pour la survie de l’entreprise. Enfin, les PME devront tester et simuler, sur la base de scénarios vraisemblables, l’efficacité de leurs process et entraîner leurs cellules de crise pour ne pas risquer de voir leur maintien d’activité - voire leur survie - mise en péril.