Skip to Content

Du phishing au ransomware : le guide de la cybersécurité des PME

Du phishing au ransomware : le guide de la cybersécurité des PME

Les cyberattaques se multiplient. Pour les PME, il n’est plus possible d’ignorer la menace. Nos conseils pour élaborer votre stratégie de cybersécurité.

Une attaque toutes les 39 secondes. C’est la statistique incroyable révélée par une responsable de l’ONU, à l’occasion d’un discours sur le thème de la cybercriminalité. Ces dernières années, les cyberattaques se sont en effet multipliées de manière exponentielle, partout dans le monde.

Exploitez le CRM à 100% !

Réduisez vos dépenses et boostez la productivité !

CRM SUperpower ESMB

Dans son dernier rapport, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) alertait sur la hausse continue de ces attaques et le risque réel pour les entreprises et organisations françaises. Elle soulignait également la professionnalisation des cybercriminels qui opèrent au sein d’un véritable écosystème et pointait du doigt les moyens de plus en plus sophistiqués utilisés. En d’autres termes, le marché très lucratif de la cybercriminalité est en plein essor et les attaques ne sont pas prêtes de diminuer.

Pour les PME françaises, il n’est plus possible – ni raisonnable – d’ignorer la menace qui pèse sur elles. Dans cet article, on vous propose quelques conseils pour élaborer la stratégie de cybersécurité de votre PME.

Cybersécurité, un enjeu de taille pour les PME

Pendant longtemps, les PME se sont crues à l’abri des actes cybercriminels. Et il est vrai qu’au départ, les cyberattaques ont frappé en priorité les grandes organisations. Mais depuis quelques années, les PME sont devenues des cibles de choix pour les hackers. Les deux raisons principales sont :

  • L’augmentation de leurs usages numériques : communication par emails, site internet, plateforme e-commerce, et télétravail. La pandémie a d’ailleurs agi comme un catalyseur pour les attaques cybercriminelles, d’où la nécessité de sécuriser les conditions de travail à distance.
  • L’impréparation : contrairement aux grandes entreprises, elles ne disposent pas de ressources humaines dédiées à la cybersécurité. Leurs systèmes informatiques sont souvent obsolètes et elles n’investissent que rarement dans des outils de protection.

Les statistiques de la cybersécurité que toutes les PME devraient connaître

Les chiffres de la cybersécurité pour les PME sont éloquents et font froid dans le dos :

  • La France est dans le top 3 des pays européens les plus touchés par les rançongiciels (ransomware) d’après le baromètre 2022 d’Anozr Way.

  • L’impact économique des attaques par rançongiciels est estimé à 660 millions d’euros pour les entreprises françaises d’après la même source. Un montant vertigineux qui n’inclut pas le paiement éventuel de la rançon.

  • Plus d’un tiers des PME françaises a été la cible d’une cyberattaque en 2020, selon une étude d’Hiscox et Forrester Consulting.

  • D’après le panorama de la menace informatique publié récemment par l’ANSSI, non seulement le nombre de PME victimes de ransomware augmente chaque année, mais celles-ci sont également des cibles prioritaires. En 2021, elles représentaient 52 % des victimes (soit 1 victime sur 2).

Répartition des entités victimes d’attaques par rançongiciel en 2020

Répartition des entités victimes d’attaques par rançongiciel en 2021

  • Le coût financier médian d’une cyberattaque s’élève à 50 000 euros.

    Mais au-delà de l’argent, le coût pour les PME peut être bien plus élevé : perturbation de l’activité (chaque jour affecte l’entreprise), atteinte à l’image et à la réputation, perte de confiance des partenaires et des clients.

    Il faut également noter que la motivation des cybercriminels n’est pas toujours l’argent. Ainsi, l’espionnage informatique, le vol de technologies ou de secrets commerciaux sont des mobiles fréquents et peuvent constituer des pertes encore plus importantes que l’argent pour une PME.

  • D’ailleurs, lorsque les PME sont touchées, elles ont du mal à reprendre pied. 60 % d’entre elles n’y parviennent pas et mettent la clé sous la porte dans les 18 mois.

Quelles sont les menaces les plus courantes pour les PME ?

Les cybercriminels sont de plus en plus ingénieux et inventifs. Ils utilisent les réseaux sociaux pour rassembler des informations sur les entreprises et crédibiliser leurs escroqueries en envoyant par exemple des emails de phishing très personnalisés.

Des logiciels malveillants comme des keylogger ou enregistreurs de touche peuvent être déployés à votre insu et mettre à jour tous vos mots de passe et identifiants.

Enfin, les tristement célèbres ransomware permettent quant à eux d’infiltrer votre système informatique, d’en chiffrer toutes les données et de réclamer aux entreprises une rançon pour récupérer leurs informations.

Le risque peut également venir des partenaires de votre entreprise. On parle d’un effet de rebond. On considère qu’une entreprise dont les données ont été volées met en danger jusqu’à 150 autres entreprises !

Enfin, la menace la plus courante pour les entreprises reste la plus banale : l’erreur humaine. C’est-à-dire, cliquer par inadvertance sur un lien frauduleux, télécharger une pièce-jointe suspecte ou utiliser du matériel informatique non sécurisé comme par exemple une clé USB infectée, un ordinateur personnel sans antivirus etc.

Dans son dernier rapport sur la gestion des cyber risques, l’assureur Hiscox établissait le classement suivant :

Cyberattaques : comment protéger votre entreprise ?

La menace des cyberattaques est réelle et tangible pour les PME. Pour vous prémunir, il existe un certain nombre de bonnes pratiques à mettre en œuvre.

  • Tenez-vous prêt. Trop de dirigeants d’entreprise adoptent une politique de l’autruche, plutôt que de faire face à l’éventualité d’une attaque. Pourtant, une cyberattaque ressemble à n’importe quelle autre crise. Et pour n’importe quelle crise, le mot-clé c’est la préparation. Alors, ne vous laissez pas prendre au dépourvu !

  • L’erreur est humaine. Sensibilisez vos équipes en rappelant régulièrement à vos collaborateurs les principes de bases de la cybersécurité. Publiez une charte informatique dans laquelle vous énoncez clairement les règles de sécurité en matière de mots de passe, d’utilisation d’outils informatiques personnels, etc.

    Des équipes averties et formées seront moins susceptibles de cliquer sur des liens malveillants ou de télécharger des fichiers douteux, et donc d’être prises au piège d’une tentative de hameçonnage.

  • Utilisez un gestionnaire de mots de passe et si possible l’authentification à deux facteurs. Cette dernière n’est pas très compliquée à mettre en œuvre et l’extra protection qu’elle apporte vaut largement le temps investi.

  • Soyez exigeants sur la sécurité des applications tierces et prenez en main le Shadow IT de votre entreprise. On vous encourage d’ailleurs à jeter un œil à notre article sur le sujet.

  • Stockez vos données dans le Cloud. Les fournisseurs de Cloud ont des standards de sécurité très élevés, vos données y seront bien plus en sécurité que lorsqu’elles sont stockées sur vos serveurs internes privés. Pensez aussi à utiliser éventuellement les services d’une plateforme de sauvegarde et de restauration comme OwnBackup.

  • Effectuez les mises à jour des logiciels dès qu’elles sont requises, vous bénéficierez ainsi toujours du plus haut niveau de sécurité. Et si vous avez envie de souffler dès que vous voyez la notification de mise à jour s’afficher sur votre écran (c’est vrai que c’est un peu pénible), rien ne vous empêche d’opter pour des solutions Cloud dont les mises à jour sont automatiques.

  • Utilisez un VPN pour assurer la confidentialité des échanges. Il permet de crypter les communications et d’exclure les utilisateurs extérieurs au réseau.

  • Soyez aussi vigilants avec les téléphones et tablettes professionnelles qu’avec les ordinateurs. Il suffit d’un téléphone perdu ou volé pour ouvrir une brèche dans votre entreprise. Limitez l’accès aux données disponibles sur les appareils nomades. Installez des traceurs ou des applications qui permettent de géolocaliser les appareils et d’effacer les données à distance.

  • Souvent les dirigeants d’entreprises font face seuls à la crise. En fonction de l’ampleur de l’attaque, ils se retrouvent en état de sidération et donc, pas vraiment dans les meilleures conditions pour prendre de bonnes décisions ! C’est ainsi que de nombreuses PME ne portent pas plainte après une attaque.

    Ne portez pas tout sur vos épaules. Constituez en amont une équipe dédiée et prête à intervenir en cas de besoin. N’hésitez pas à consulter les ressources disponibles sur le site de l’ANSSI, notamment cet excellent guide qui propose des recommandations aux entreprises pour anticiper et réagir en cas d’attaque.

Cybersécurité, l’essentiel à retenir

La cybersécurité des entreprises est une problématique à long terme. Les entreprises rencontrent des défis inédits. Elles doivent collecter et stocker leurs données pour en permettre l’exploitation commerciale et assurer leur survie dans ce nouvel environnement. Elles doivent également garantir la conformité avec les nouvelles réglementations en usage et enfin, faire preuve d’une vigilance accrue pour protéger leurs données contre les actes de malveillance.

Cela représente beaucoup de pression pour les PME et elles peuvent être tentées de verrouiller toutes leurs informations. Ce n’est pourtant pas la bonne solution. Les PME gagneront bien davantage à traiter le problème à la source, en mettant en place une stratégie de gouvernance des données, en stockant et en centralisant leurs informations sur une plateforme unique, et en rationalisant leurs processus métiers.

Pour vous tenir à jour sur l’actualité des PME, téléchargez notre livre blanc sur les dernières tendances des PME.

5e édition du rapport de tendances relatif aux PME

Découvrez les tendances qui transforment le quotidien des PME et celles qui dessinent leur futur. Télécharger le guide Add descriptive alt text

Salesforce