La cybercriminalité cible aussi les petites entreprises : il est urgent de se protéger !

Finissons-en rapidement avec cette idée reçue : non, les cyberattaques ne ciblent pas que les grands groupes !

Infographie : cybercriminalité et petites entreprises

Les petites entreprises : une cible de choix des cyberattaques

Les pirates informatiques lancent chaque jour des milliers d’attaques de manière aléatoire. Ce large balayage leur donne plus de chance d’identifier des vulnérabilités et d’en tirer une contrepartie financière. Car chaque entreprise, quelle que soit sa taille, possède des informations de valeur qui se revendent facilement (coordonnées bancaires, coordonnées clients…) et un ensemble de données qui, si elles ne sont plus accessibles (dans le cas d’une attaque de type rançongiciel par exemple), bloquent le bon fonctionnement de l’entreprise et permettent aux pirates d’exiger le paiement d’une rançon pour les débloquer.

Les petites entreprises sont aussi touchées. Ce sont même des cibles de choix car leurs systèmes de sécurité sont souvent moins élaborés. D’après une enquête de la CPME, en 2021, 1 petite entreprise sur 5 avait déjà essuyé une cyberattaque. Les petites entreprises, qui comptent moins de 10 employés, ont vu leur nombre d'attaques recensées multiplié par 4 entre 2020 et 2021 selon le rapport Hiscox 2021. Selon l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), le niveau général de la menace se maintient en 2022. Les intrusions ont augmenté de 37 % entre 2020 et 2021, mais ont diminué de 23 % entre 2021 et 2022. Si le nombre de 2022 est inférieur à celui de 2021, cela ne saurait être interprété comme une baisse du niveau de la menace. Les acteurs malveillants poursuivent l’amélioration constante de leurs capacités et font plus de dégâts lors de leurs attaques. En parallèle, toujours selon l’ANSSI, en 2022, les TPE, PME et ETI représentent 40 % des attaques par rançongiciel.

Les petites entreprises sont même les plus touchées si l’on regarde le montant des pertes liées aux cyberattaques proportionnellement à la taille de l’entreprise. Le rapport Hiscox 2021 sur les cyber-risques montre que le coût médian de l’ensemble des attaques sur les petites entreprises est égal à 7 273 €. Dans de nombreux cas, les montants sont prohibitifs. Selon le MEDEF, 20 % des TPE attaquées ont subi un préjudice supérieur à 50 000 € et 13 % ont subi un préjudice dépassant les 100 000 €.

Quels sont les principaux cyber-risques pour les petites entreprises ?

Les menaces qui pèsent sur toutes les entreprises sont nombreuses aujourd’hui (et sont souvent accentuées dans un contexte de télétravail). Voici quelques exemples des principaux cyber-risques :

  • Piratage d’un système informatique, souvent réalisé par hameçonnage (technique frauduleuse destinée à voler des informations personnelles ou professionnelles -comptes d’accès, mots de passe, compte bancaire…- en se faisant passer pour un tiers de confiance) ou via des rançongiciels (logiciels malveillants qui bloquent l’accès à vos données informatiques et vous proposent de déverrouiller l’accès aux fichiers contre le paiement d’une rançon) ;
  • Arnaque aux faux ordres de virement bancaire (attaque qui pousse ou contraint la victime à réaliser un virement de fonds sur un compte frauduleux) ;
  • Attaque de type déni de service (attaque qui vise à rendre inaccessible votre serveur afin de provoquer une panne ou un fonctionnement fortement dégradé de votre service) ;
  • Prise de contrôle du site en défigurant l'apparence du site internet.

Ces cyber-risques ont surtout un coût important pour l’entreprise attaquée. Car au-delà des frais les plus évidents liés à la résolution du problème (enquête technique, amélioration de la sécurité du système d’information et sécurisation des données post-attaque lorsqu’elles sont récupérées, honoraires d’avocat et frais de justice le cas échéant, relations publiques…), de nombreux coûts cachés peuvent venir s’ajouter pour l’entreprise (impacts liés à la perturbation ou l’arrêt de l’activité, augmentation des primes d’assurance, perte de contrats clients, dégradation de l’image de marque…).

Comment se protéger ?

De nos jours, il devient urgent de se protéger des attaques malveillantes de son PC.

Se former à la sécurité électronique et former ses collaborateurs

L’humain est souvent le maillon faible en termes de cybersécurité. Il est donc important de sensibiliser et former ses collaborateurs aux bonnes pratiques numériques (ex : utiliser des mots de passe forts, réfléchir à la provenance d’une pièce jointe, vérifier la présence de protocole HTTPS sur les sites utilisés, connaître les menaces…).

La formation doit aider l’entreprise et ses collaborateurs à respecter les bonnes pratiques en matière de cybersécurité, connaître les principales menaces et adopter les bons réflexes pour ne pas tomber dans les pièges et apprendre à se préparer pour savoir réagir en cas d’attaque.

Voici quelques bonnes pratiques à maîtriser :

  • Ne jamais communiquer d’informations sensibles par téléphone, par messagerie (compte bancaire, mot de passe…) ;
  • Vérifier l’origine des messages reçus (l’expéditeur, l’adresse du site internet vers lequel pointe le message, l’éditeur du programme à installer…) et ne pas ouvrir les messages ou pièces jointes suspects, ne pas cliquer sur les liens suspects… ;
  • Sécuriser les accès aux sites et applications en utilisant des mots de passes différents et complexes pour chaque site et application, et activer la double authentification dès que possible (ex : login, mot de passe et code reçu par SMS).

Sauvegarder les documents et données les plus sensibles de l’entreprise

Il est important de mettre en place un système de sauvegarde régulier des documents et données de l’entreprise. À minima, les documents et données les plus sensibles sans lesquels l’entreprise ne peut pas fonctionner normalement et/ou perd son patrimoine (ex : sauvegarde du logiciel de gestion, fichier client, contrats clients ou fournisseurs importants, bulletins de paie des salariés…).

Plusieurs systèmes de sauvegarde peuvent être utilisés (stockage physique, stockage en ligne plus ou moins sécurisé). N’hésitez pas à utiliser deux solutions en parallèle car tous les supports de stockage possèdent des vulnérabilités.

Le coffre-fort numérique est la solution de stockage en ligne la plus sécurisée : les fichiers stockés sont cryptés (chiffrement des données) et la solution dispose de fonctionnalités de traçabilité qui garantissent un contrôle des accès et un suivi des opérations réalisées sur les données et documents stockés.

Chez FIDUCIAL, nous vous proposons un eCoffre qui permet de sauvegarder et sécuriser tous les documents ou données que vous jugez utiles pour le bon fonctionnement de votre entreprise (fichiers clients, contrats client ou fournisseur, contrats de travail, contrats financiers, brevets, identité visuelle, statuts et procès-verbaux de vos assemblées générales, sauvegardes de votre logiciel de gestion…).

Identifier les vulnérabilités informatiques et renforcer la cybersécurité

Il convient tout d’abord de sécuriser les différents matériels ou postes de travail qui se connectent au réseau internet (ordinateurs, tablettes, smartphones, serveur…) en les équipant d’un antivirus, d’un antimalware et d’un pare-feu de dernière génération. Il convient également de mettre à jour régulièrement ces protections, ainsi que les systèmes d’exploitation de vos matériels et les logiciels installés pour bénéficier des derniers correctifs de sécurité. En cas de télétravail, il est nécessaire de s’assurer que les terminaux qui se connectent à distance au réseau de l’entreprise répondent à ces mêmes exigences de sécurité. Il convient enfin de sécuriser également votre réseau, notamment si vous avez un réseau Wi-Fi.

Pour travailler et échanger, les entreprises utilisent de plus en plus de services hébergés sur internet et stockent de plus en plus de données sensibles en ligne. Or, tous les services utilisés ne sont pas toujours très sécurisés. Au-delà de la sécurité des équipements qui accèdent à ces services, il convient de mettre en place un contrôle des accès aux services en ligne. En premier lieu, l’entreprise doit définir et valider les services professionnels auxquels peuvent accéder ses collaborateurs.

Ensuite, elle doit définir et contrôler les accès à ces services qu’elle accorde à ses collaborateurs (comptes individuels non partagés, niveau de sécurité des mots de passe, paramétrage des droits cohérent avec les fonctions et responsabilités de chaque collaborateur, suppression des accès pour les collaborateurs partis…).

Comment réagir en cas d’attaque ?

Une attaque informatique peut toujours survenir et réussir à contourner les protections mises en place. Il est donc important d'acquérir les bons réflexes pour mettre en œuvre les bonnes actions.

En cas de piratage de votre système informatique, la première chose est d’isoler rapidement les équipements concernés en les déconnectant du réseau. Vous pourrez ensuite, seul ou avec l’aide d’un prestataire spécialisé, analyser la situation, identifier l’origine possible du piratage et ses impacts, et trouver les solutions à mettre en œuvre pour reprendre votre activité.

N’oubliez pas en parallèle de déposer plainte au commissariat de police ou à la brigade de gendarmerie, ou encore par écrit au procureur de la République du tribunal judiciaire dont votre entreprise dépend. Depuis le 24 avril 2023, la personne physique ou morale d'une cyberattaque dans le cadre de son activité professionnelle doit déposer plainte sous 72 heures pour être indemnisé par son assureur (selon la couverture prévue par le contrat d'assurance).

Par ailleurs, en cas de violation de données à caractère personnel, et selon les risques pour les personnes dont les données ont été compromises, vous pourriez être dans l’obligation de notifier l’incident à la CNIL (Commission Nationale de l'Informatique et des Libertés).

Le Gouvernement français a mis en ligne un site internet dédié qui explique les menaces qui pèsent aujourd’hui sur toutes les entreprises, donne des conseils pour se préparer et savoir réagir en cas d’attaque. Vous trouverez également sur ce site des professionnels en cybersécurité qualifiés capables de vous apporter leur assistance technique. N’hésitez pas à le consulter : www.cybermalveillance.gouv.fr.

 

Nos recommandations :

La plateforme cybermalveillance.gouv.fr et Bpifrance publient un guide sur les bonnes pratiques et réflexes à adopter en cas de cyberattaques. Des outils pour effectuer un autodiagnostic de son entreprise existent et des experts habilités par Bpifrance peuvent à votre demande, intervenir.

L'Agence nationale de la sécurité des systèmes d’information (ANSSI) a également publié un guide sur la cybersécurité pour les TPE/PME en 13 questions. Il permet de développer une culture de cybersécurité et de mettre en place des mesures pour se protéger en cas d’attaque.