Retrouvez les replays de nos Webinars sur la Cybersécurité !
Découvrir

Sécurité informatique

PME et TPE, des attentes à la réalité

Les ha­ckers se tournent de plus en plus vers des structures plus petites : moins pré­pa­rées, moins équipées, moins sensibilisées, etc. La sécurité informatique devient alors un enjeu majeur pour tous.

 

 

La sécurité informatique, l’affaire de tous

 

Re­vers de la mé­daille de la nu­mé­ri­sa­tion, les cyberattaques sont au cœur de toutes les préoccupations. Elles concernent aussi bien les responsables des Systèmes d’Information que les pouvoirs publics. Les médias sensibilisent régulièrement les entreprises et les particuliers.
Et pourtant…

« La France est encore insuffisamment préparée au cinquième domaine de la guerre. La cyberdéfense est l’affaire de tous. »
Nicolas Sironneau et Jean-Benoît Arvis, experts numériques de la Fondation Concorde, La Tribune

 

Les pouvoirs publics prennent cette menace très au sérieux ! En effet, Emmanuel Macron a présenté en février un plan de 1 milliard d’euros d’ici à 2025, visant à dynamiser le secteur de la Cybersécurité du pays. Une soixan­taine d’ac­teurs pu­blics et pri­vés du secteur vont col­la­bo­rer dans un même lieu : le « Cam­pus Cyber ». Situé à la Dé­fense, ce site sera dédié à la re­cherche, la for­ma­tion, la pré­ven­tion et à l’ac­tion contre les cy­ber­cri­mi­nels.

Si nous avons désormais conscience de la menace, nous n’en mesurons pas forcément l’ampleur, ni le danger qu’elle représente. Selon Florence Parly, la mi­nistre des Ar­mées, les cy­be­rat­taques en France ont été mul­ti­pliées par quatre en l’es­pace d’un an. Le centre de re­cherches No­ve­thic constate que 9 en­tre­prises sur 10 ont été la cible d’actes de pi­ra­tages au cours de l’an­née 2020. De son côté, Guillaume Pou­pard, Di­rec­teur Gé­né­ral de l’Agence Na­tio­nale de Sé­cu­rité des Sys­tèmes d’In­for­ma­tion (ANSSI), estime que le nombre d’at­taques aux ran­çon­gi­ciels a été mul­ti­plié par trois ou quatre en un an.

L’agence a également en­re­gis­tré de­puis mars 2020, une hausse de 400 % des ten­ta­tives de phi­shing.

 

 

Toutes les entreprises sont vulnérables

 

Traditionnellement, les cibles des cyberattaques de tous types étaient les grandes entreprises et organisations d’Etat. Les TPE et PME étaient surtout confrontées aux tentatives visant les sites intégrant le paiement en ligne. La démocratisation des techniques d’attaques est un aujourd’hui un constat évident.

L’acteur spécialisé sur les PME et ETI que nous sommes peut le confirmer ! Auparavant les tentatives sous forme de hacking, cryptolocker, DDoS et fishing ciblaient avant tout quelques clients grands comptes ou des entreprises bien connues du grand public parmi notre base installée. Désormais, plus de 60 % de nos clients ont déjà subi une ou plusieurs tentatives d’attaques. La plus courante est l’attaque du type ransomware, avec intrusion basée sur un hameçonnage par mail.

Cette technique permet à l’attaquant de chiffrer une partie du filer des entreprises visées. Plusieurs autres ont subi des tentatives de hack de serveurs, potentiellement très dangereuses.

 

 

Investir dans la sécurité informatique

 

La di­gi­ta­li­sa­tion des en­tre­prises et de leur éco­sys­tème a fait de la me­nace cyber un risque majeur. Malgré cela et selon certaines études, 80 % des entreprises françaises n’ont pas encore mis en place un plan de ré­ponse sérieux. Les plus visées sont évidemment les TPE, PME et TPI, sans oublier les collectivités locales. Moins pré­pa­rées, moins équipées, moins sensibilisées et de plus en explosées, elles sont en effet des proies idéales.

Les grandes en­tre­prises ont depuis de nombreuses années considérablement investi pour as­su­rer leur Cy­ber­sé­cu­rité. De nombreux chiffres allant du simple au double, dénoncent l’impact d’une cyberattaque pour les entreprises (perte de productivité, d’image, etc.). Pour exemple, une étude réalisée par Ozon en début d’année auprès de 23 000 PME évaluait à 160k€ l’im­pact fi­nan­cier moyen d’une cy­be­rat­taque.

 

 

La sécurité du Cloud en toute vigilance

 

L’avantage des structures de moins de 1000 employés réside dans la flexibilité et la réactivité lors de la détection d’une menace. En revanche, il manque des moyens de détection et de protection en amont. Un passage plus renforcé au Cloud public peut s’avérer bénéfique. En effet, de nombreux services de protection peuvent être consommés plus facilement, sans devoir passer par « la case CAPEX ». Car cela implique souvent une étude plus poussée avec lancement d’un appel d’offres, travaux d’architecture, montée en compétences, etc.

Comme nous l’avons vu encore très récemment avec le tragique incendie dans le Datacenter Strasbourgeois de OVHcloud, cela n’est pas un blanc-seing pour la tranquillité d’esprit des dirigeants. Le Cloud propose une multitude de solutions (sauvegarde, PRA, anti-intrusion, WAF, anti-DDoS, etc.). Mais c’est bien à l’entreprise de faire ses choix en fonction de son analyse des risques. Autrement dit, c’est bien de savoir que les solutions sont au catalogue des Hyperscalers, mais encore faut-il les déployer et configurer correctement.

Plus que jamais former et informer est une priorité. L’objectif poursuivi est à la fois la prise de conscience des dirigeants et la sensibilisation (et responsabilisation) des employés.

 

 

Un label pour la sécurité informatique

 

Les PME doivent comprendre que la sécurité des données a un coût ! L’ANSSI conseille d’y affecter 5 à 10% du budget de la DSI. Comme elles disposent rarement des budgets pour former leurs équipes, elles ont intérêt à s’affranchir des compétences techniques en travaillant avec un partenaire de Services Managés (MSP, MSSP, ESN, etc.). C’est d’ailleurs pour cela qu’a été créé le label ExpertCyber.

Il vise à « valoriser les professionnels en sécurité numérique ayant démontré un niveau d’expertise technique et de transparence dans les domaines de l’assistance et de l’accompagnement de leurs clients ». Développé par la plateforme cybermalveillance.gouv.fr et en partenariat avec les principaux syndicats professionnels du secteur, le label ExpertCyber est une garantie précieuse à l’heure du choix d’un accompagnateur. Les 50 premiers professionnels labellisés ont été présentés en février 2021.

 

 

Pour conclure

La prise de conscience est l’affaire de chacun !
Les institutionnels (ANSSI) et les acteurs du terrain, privés et publics doivent alors effectuer un travail d’évangélisation. Les entreprises et collectivités peuvent ainsi s’appuyer sur des partenaires spécialisés pour mettre en œuvre une protection optimale en fonction des risques inhérents à leur activité

Florian PERRIN
RSSI
ITS Integra

Scott CHAURAND
Responsable Qualité/RSE
ITS Integra