Je vous avoue, qu’avant de faire quelques recherches sur le sujet, je n’avais pas conscience que les risques pouvaient être si réels pour les TPE/PME.
Cette vidéo, présentée sur le site France Num permet de montrer que n’importe quel secteur d’activité, n’importe quelle taille d’entreprise peut être visée.
Selon une Étude publiée par Accenture sur le coût de la cybersécurité, 43 % des attaques concernent aujourd’hui des TPE – PME.
Les petites entreprises sont donc clairement des proies faciles pour les cybercriminels principalement dû au manque de protections mises en place, à la méconnaissance des risques ou bien à un équipement logiciel obsolète.
Alors puisque pour Coup de Pouce Gestion, l’idée c’est de pouvoir vous accompagner sur tous les aspects de votre gestion, on fait le point aujourd’hui sur la manière d’agir pour se protéger de cette menace.
Pourquoi les TPE sont elles ciblées ?
On ne peut donc plus considérer aujourd’hui que parce qu’on est une petite structure, on ne risque rien.
Mais on peut clairement se demander qu’est-ce qui peut bien intéresser les cybercriminels dans des structures où les fonds et les moyens financiers sont bien plus réduits que dans des grandes multinationales.
L’erreur c’est de croire que l’attaque est spécifiquement ciblée sur votre structure. La plupart des cyber-attaques sont automatisées à grande échelle. L’idée est d’attaquer en masse et de chercher la faille !
Et dans ce contexte, lorsque la cyberattaque frappe à la porte de la petite entreprise, il y a pas mal d’éléments qui vont faciliter sa réussite.
Un manque de moyen humain
Les TPE/PME ont rarement les moyens et la capacité de désigner un responsable informatique dédié.
Il n’y a donc généralement pas de veille ou de vigilance particulière sur le sujet.
Cela rend donc les attaques plus efficaces dans la mesure où le cybercriminel a plus de latitude et de temps pour mettre en place son action avant de mettre la structure en alerte.
Une sécurité informatique souvent insuffisante
-
Des mots de passe qui ne jouent pas leur rôle
Un des points d’entrée des attaques, c’est le Mot de Passe.
Des mots de passe, on est d’accord, il y en a partout et on ne sait plus comment s’y prendre….jusqu’à oublier pourquoi ils existent à la base !
Dans le cas de la PME en exemple dans la vidéo d’introduction de cet article, c’est le mot de passe utilisé pour le télétravail qui a été forcé, par manque de sécurité. Le cybercriminel s’est ensuite introduit dans le réseau de l’entreprise et a pu facilement déployer son attaque.
Quelques rappels qui ne font jamais de mal :
-
une maintenance informatique insuffisante
La plupart du temps c’est également un poste qui n’est pas priorisé par ces structures.
Par manque de temps, par manque de moyens, là aussi, les TPE donnent malgré elles une belle opportunité aux opportunistes.
Car, si disposer des logiciels métiers et de sécurité est un bon début, il faut s’assurer par la suite qu’ils soient à jour pour se prémunir des attaques.
Un manque de formation
90% des attaques sont liées à des failles humaines.
Il est donc indispensable que l’ensemble des collaborateurs d’une entreprise soient, idéalement formés, à minima, sensibilisés aux risques cyber.
Des conséquences plus graves qu'on ne le pense
Une cyberattaque entraîne quoi qu’il arrive des perturbations plus ou moins importantes sur l’activité pendant plusieurs semaines, voire plusieurs mois.
On n’imagine souvent mal les arrêts ou retards de fonctionnement que cela peut engendrer.
En moyenne, le retour à la normale se fait sous 26 jours pour les TPE. Inutile donc de préciser que les pertes d’exploitations peuvent être désastreuses
Votre image de marque peut également en prendre un coup !
Dans certains cas, ce sont les données que vous possédez au sujet de vos clients qui sont volées.
Et dans ce cas, autant vous dire que la confiance de vos clients peut être largement entamée si certaines données sensibles sont exposées.
Par ailleurs, sans possibilité de prévoir une date de retour à la normale à annoncer à vos clients le risque est réel de les voir dans l’obligation de se détourner vers d’autres fournisseurs pour assurer leur continuité d’activité.
Rétablir le système d’exploitation cible de l’attaque peut se révéler très couteux tout comme les frais liés à la gestion de la crise.
En moyenne, le coût d’une cyberattaque pour une entreprise est de 14 720€ (source : Rapport Hiscox 2023), sachant que dans le même temps 1 entreprise sur 8 révèle des coûts dépassant les 230 000€. Les attaques les plus virulentes peuvent alors être littéralement destructrices pour les structures les plus fragiles.
En cas de cyberattaque, quelle est la responsabilité du dirigeant ?
En premier lieu, le code pénal prévoit que c’est la Personne Morale qui peut être tenue pour responsable des infractions subies.
Malgré tout, la faute de gestion peut être retenue à l’encontre du dirigeant si la justice estime que les mesures suffisantes n’ont pas été mises en place pour prévenir ce genre d’incidents.
Et concrètement on fait quoi ?
Quelques actions, faciles à mettre en œuvre au sein de votre structure pour prévenir, anticiper.
Des ressources utiles sur le sujet
Sur le site France Num, vous pouvez tester votre connaissance et votre niveau de perception de la sécurité numérique à travers 18 questions.
Ici c’est un diagnostic gratuit de 1h30 qui est proposé, mais également un accompagnement pour sécuriser votre TPE contre les menaces cyber.
C’est l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) qui propose ce dispositif pour les TPE/PME, quelle que soit leur taille.
Ici, c’est la gendarmerie nationale qui propose un pré-diagnostic. L’idée c’est d’évaluer le niveau de protection d’une structure contre les menaces en ligne et d’identifier les actions restants à mener sur le sujet.
C’est une évaluation, menée dans les locaux de l’entreprise par un cyber gendarme. Au préalable, la structure est invitée à remplir un auto-diagnostic.
Au final, l’entreprise se voit remettre un rapport d’évaluation et des préconisations.
Principalement concernées : les structures sur une zone dépendant de la Gendarmerie nationale.
Et pour finir, il peut être intéressant de se rapprocher de votre CCI, si votre activité vous fait dépendre de cette chambre consulaire.
Des actions de sensibilisations, des accompagnements personnalisés sont proposés aux TPE/PME.
Les sources de cet article
J’espère vous avoir montrer au fil de cet article qu’aucune entreprise n’est trop petite pour être piratée. Alors investir un peu de temps aujourd’hui c’est peut-être d’ores et déjà vous permettre d’éviter des pertes importantes demain.
Nous sommes tous concernés, et des solutions simples et accessibles existent pour permettre au TPE de prendre en compte pleinement cette problématique.
