PME, comment faire face à la cybermenace ?
En matière de cybersécurité, il faut se méfier tout autant des pirates… que des idées reçues. Au premier rang desquelles celle qui affirme qu'une PME est une trop petite cible pour les cybercriminels. Une vision complètement fausse malheureusement encore très présente au sein des corps dirigeants de ces entreprises. Les PME sont bien dans le viseur des groupes de pirates du darknet comme le rappelle Farid Lahlou, CEO de BonjourCyber : "En 2022, 50% des entreprises françaises ont subi une cyberattaque. 50% de ces victimes sont des PME et 86% d'entre elles n'ont jamais rien fait pour leur cybersécurité". Marc Bothorel, référent cybersécurité à la CPME (Confédération des PME), confirme : "Les PME ne sont pas trop petites pour les cybercriminels. Lors des attaques de type phishing, les attaquants ratissent large et envoient des mails frauduleux à des centaines de milliers d'adresses trouvées sur le darknet. De plus, les pirates savent que les PME sont moins protégées que les grands groupes. Certaines se sont dotées d'une cybersécurité via un provider mais ce n'est pas la majorité des cas".
Les premières briques à poser pour sa cybersécurité
Avant toute chose, les PME doivent créer un budget dédié à la cybersécurité, donc il faut que la prise de conscience se fasse au niveau du dirigeant. Farid Lahlou explique : "Nous intervenons auprès des PME et en général, elles n'ont pas de DSI ni de RSSI donc on doit s'adresser directement au dirigeant. Il y a eu un déclic sur les 24 derniers mois. On sent que les patrons de PME sont plus sensibilisés mais ils n'osent pas forcément ouvrir un budget cybersécurité". Pour que ce premier pas soit accompli, il faut continuer le travail de sensibilisation auprès des directeurs de PME. Travail que continue de mener la CPME, comme nous l'explique Marc Bothorel : "Maintenant nous allons plus loin que la sensibilisation, nous faisons de l'acculturation. Pour développer une culture cyber avec cet objectif que les personnes remplissent leur rôle de premier rempart face au risque cyber".
Un bon budget pour la cybersécurité dans une PME s'élève à plusieurs dizaines de milliers d'euros par an. Marc Bothorel précise : " En moyenne, dans l'idéal, il faudrait que les PME consacrent 2 à 3% de leur chiffre d'affaires à la cybersécurité."
Après le budget, vient le problème du personnel, qui se fait rare dans le domaine de la cybersécurité. Une solution proposée par les providers est de fournir à la PME une externalisation de leur cybersécurité. Parmi les entreprises qui proposent de tels services, nous pouvons citer Bitdefender.
Il faut également se couvrir, et donc souscrire une cyber assurance auprès d'un assureur ou d'un cyber assureur comme STOIK. Mais attention, pour pouvoir souscrire à une cyber assurance, la PME doit répondre à certains critères, explique Laurent Tombois, country manager B2B pour la France et les pays francophones chez Bitdefender : "La cyber assurance a une contrainte. Pour y avoir accès, on doit mettre en place des outils comme un EDR et du service managé. Ils sont nécessaires pour pouvoir faire face aux cyberattaques potentielles pouvant cibler les systèmes d'information de la PME". Marc Bothorel ajoute : "Actuellement, les chefs d'entreprise ont tous une assurance responsabilité civile professionnelle (RC Pro) pour protéger leur business alors que ce n'est pas une obligation légale. Et bien il faut qu'il y ait le même réflexe pour la cyber". Le fait de demander une cyber assurance va pousser le dirigeant de PME à faire un audit de cybersécurité, l'assurance pouvant parfois proposer de le faire pour lui.
Enfin, la dernière brique consiste en la sensibilisation auprès de ses employés. Il est important de leur apprendre à acquérir les bons réflexes. Ils doivent être vigilants face aux mails frauduleux, à des comportements étranges des machines, etc. Acquérir une bonne cybersécurité représente bien sûr un coût, mais face aux rançons demandées par les cybercriminels et à l'impact en termes d'image de marque qu'une cyberattaque réussie peut avoir, il est très faible.
Je suis attaqué, comment réagir ?
En cas d'attaque, tout d'abord, il faut garder la tête froide et appeler les forces de l'ordre. Puis aller sur la plateforme cybermalveillance, qui, rappelle Marc Bothorel, " permet de faire le lien entre des professionnels victimes d'une cyberattaque et des professionnels de la cybersécurité". Ajoutons à cela qu'un grand nombre d'entreprises de cybersécurité proposent de d'aider les entreprises dans le besoin, même si elles ne sont pas leurs clientes, comme BonjourCyber, Kaspersky, Bitdefender, Crowdstrike et bien d'autres. Contactez les services de sécurité de l'Etat pour pouvoir déposer plainte. Autre information importante, ne nettoyez pas votre système informatique avant l'arrivée des experts, car vous effaceriez les traces des cybercriminels. Enfin, n'oubliez pas de contacter votre cyber assurance.