Fact Checking : 4 mythes sur la cybersécurité qui persistent dans les TPE/PME
La thématique de la cybersécurité dans les petites structures présente un paradoxe intéressant. D’un côté, les pirates informatiques sont de plus en plus nombreux à cibler les TPE/PME, moins bien protégées, pour atteindre les grandes entreprises de leur écosystème (clients, fournisseurs, etc.).
De l’autre, de nombreux dirigeants de petites structures se limitent encore à un antivirus par poste en guise de politique de cybersécurité.
Dans cet article, la rédaction vous propose un Fact Checking avec quatre mythes sur la cybersécurité qui persistent dans les TPE/PME et qui menacent leur pérennité.
#1 Notre entreprise est trop petite pour intéresser les pirates informatiques
Largement répandue parmi les dirigeants de TPE et PME, cette croyance n’est pas seulement erronée. Elle est aussi et surtout dangereuse. En réalité, les cybercriminels ciblent délibérément les petites structures, car leurs dispositifs de protection sont généralement moins robustes.
Pour le cyberattaquant, l’intérêt de pirater une petite structure est évident : l’attaque par rebond. En somme, il s’agit d’infiltrer une TPE ou PME dans l’espoir d’atteindre les grandes entreprises auxquelles elle peut être liée (en tant que fournisseur, sous-traitant, prestataire, etc.).
Selon l’édition 2023 du baromètre du CESIN, les attaques par rebond représentent près d’un quart des signalements des cyberattaques dans les entreprises françaises[i].
« Les entreprises externalisent de plus en plus et sont rarement attaquées directement. Elles le sont via leurs prestataires qui, souvent, n’ont pas le même niveau de sécurité que leurs clients », explique Alain Bouillé, délégué général du CESIN, dans une interview accordée au magazine Le Monde Informatique[ii]. À l’échelle mondiale, 43 % des cyberattaques visent les PME[iii].
Pour aller plus loin, vous pouvez consulter notre article « Cybersécurité : le boom des attaques par rebond ».
#2 Un antivirus suffit à nous protéger
Certains dirigeants résument la cybermenace aux virus informatiques. En réalité, les virus ne figurent même pas dans le top 10 des cyberattaques les plus fréquentes en France en 2023 selon le baromètre du CESIN.
L’antivirus n’est donc qu’un élément parmi d’autres de votre stratégie de cybersécurité, au même titre que le pare-feu, les systèmes de détection d’intrusion, une politique de mots de passe robuste, la sauvegarde régulière et sécurisée de vos données ou encore la mise à jour systématique de l’ensemble de vos logiciels.
Une PME dont la politique de cybersécurité se résume à un antivirus installé sur chaque poste s’expose à un large spectre de cyberattaques, par exemple :
- Le phishing, qui a touché 30 % des entreprises françaises en 2023. Cette technique implique l’emploi de communications frauduleuses, notamment des emails qui semblent provenir de sources fiables (banque, fournisseur d’accès internet, assurance…), pour tromper le destinataire et le pousser à divulguer des informations sensibles (identifiants, numéro de carte de crédit, etc.).
- L’exploitation des failles ou des vulnérabilités (21 % des entreprises françaises). Le cyberattaquant exploite les failles des logiciels ou systèmes d’exploitation utilisés par l’entreprise, surtout s’ils ne sont pas mis à jour.
- L’attaque par ransomware ou rançongiciel (touche 6 % des entreprises françaises). Cette cyberattaque va chiffrer et verrouiller les fichiers de votre ordinateur (factures, devis, fiches clients, etc.). Le pirate informatique exige alors le paiement d’une rançon pour fournir la clé de déchiffrement nécessaire à la récupération des fichiers.
#3 Nos données ne sont pas vraiment sensibles
Contrairement à ce que pensent certains dirigeants, les cybercriminels ne s’intéressent pas uniquement aux « gros poissons », aux données hautement confidentielles ou aux informations « sensationnelles ».
En réalité, presque toutes les données détenues par l’entreprise ont une valeur potentielle sur le marché noir ou pour des activités malveillantes :
- Les coordonnées de vos clients peuvent être utilisées pour des campagnes de phishing ciblées. Les pirates informatiques peuvent même usurper l’identité de votre entreprise pour demander à vos clients de saisir un nouveau mot de passe ou de payer la prochaine facture sur un nouveau RIB ;
- Les informations sur vos fournisseurs peuvent servir à usurper leur identité pour des fraudes aux faux ordres de virement ;
- Si les pirates informatiques n’ont pas les « compétences » pour exploiter directement les données subtilisées, ils peuvent toujours les revendre sur le Dark Web.
Le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises de protéger les données personnelles qu’elles détiennent, comme les noms, les adresses, les numéros de téléphone et les adresses email de leurs clients et employés. Le non-respect de cette réglementation peut entraîner des sanctions financières importantes, allant jusqu’à 4 % du chiffre d’affaires.
Au-delà de la loi, la perte ou le vol de données peut avoir des conséquences graves : perte de confiance des clients, atteinte à la réputation de l’entreprise, perturbation de l’activité, voire des poursuites judiciaires.
#4 La cybersécurité ? C’est le travail de l’informaticien
Cette croyance décharge la responsabilité de la sécurité informatique sur une seule personne, alors qu’en réalité, la cybersécurité est l’affaire de tous les employés, du stagiaire au PDG.
Si l’informaticien joue un rôle décisif dans la mise en place et la maintenance des systèmes de sécurité, il ne peut pas à lui seul garantir la protection de l’entreprise contre toutes les menaces cyber. En effet, de nombreuses attaques ciblent le facteur humain plutôt que les systèmes informatiques.
Le phishing, par exemple, repose sur la manipulation psychologique des collaborateurs pour les inciter à divulguer des informations sensibles ou à cliquer sur des liens malveillants. Même le meilleur antivirus ou pare-feu ne peut pas protéger la PME contre un employé qui répond à un email frauduleux en pensant qu’il provient d’une source légitime.
D’un autre côté, les erreurs humaines, comme l’utilisation de mots de passe faibles, le partage d’informations sensibles sur des réseaux non sécurisés (en télétravail par exemple) ou l’ouverture de pièces jointes suspectes sont souvent à l’origine de brèches de sécurité.
DFM, le partenaire cybersécurité des TPE/PME
Patrons de TPE/PME : votre politique de cybersécurité, ou plutôt son absence, menace la pérennité de votre entreprise. Les enjeux dépassent un simple ordinateur qui ralentit, une connexion internet qui devient capricieuse ou un fichier temporairement inaccessible.
Qu’il s’agisse d’un choix délibéré ou d’une négligence involontaire, l’absence d’une politique de cybersécurité adaptée à votre structure vous expose à des risques majeurs :
- Vous pourriez faire l’objet de sanctions au titre du RGPD ;
- Vous risquez de devenir le maillon faible de la chaîne de sécurité de vos clients, ce qui compromet vos relations commerciales, votre réputation et votre volume d’affaires ;
- Une seule brèche pourrait mettre en péril votre stabilité financière : en France, le coût médian d’une cyberattaque s’élève à 50 000 € (on en parle ici).
Vous souhaitez prendre les devants pour protéger votre TPE/PME ? Ou peut-être avez-vous déjà subi une cyberattaque qui a fait des dégâts ?
Le Groupe DFM mobilise ses 20 ans d’expérience et l’expertise de ses 300 collaborateurs pour mettre en œuvre une stratégie de sécurité à 360° (cybersécurité + sécurité des biens et des personnes) adaptée à la taille de votre entreprise, à votre budget et aux spécificités de votre activité.
[i] https://www.lemondeinformatique.fr/actualites/lire-barometre-cesin-la-cyber-resilience-des-entreprises-s-ameliore-89372.html
[ii] https://www.lemondeinformatique.fr/actualites/lire-barometre-cesin-la-cyber-resilience-des-entreprises-s-ameliore-89372.html
[iii] https://www.verizon.com/business/resources/articles/small-business-cyber-security-and-data-breaches/