La révolution numérique a ouvert aux petites et moyennes entreprises tout un éventail d’opportunités nouvelles : gains de productivité, renforcement de la compétitivité, possibilité de conquérir de nouveaux marchés… Mais, revers de la médaille, les TPE et PME sont également tout particulièrement exposées aux nouveaux risques et aux nouvelles menaces issus du cyberespace.
Adopter un certain nombre de bonnes pratiques peut cependant aider à renforcer la cybersécurité des TPE/PME.
Voici plusieurs années que les problématiques liées à la cybersécurité des entreprises prennent de l’ampleur et de la résonance. Si aujourd’hui l’ensemble des organisations sont concernées par les menaces, les petites et moyennes structures (TPE et PME) sont « particulièrement à risque », d’après un rapport cybersécurité de l’ANSSI (l’Autorité Nationale en matière de Sécurité de défense des Systèmes d’Information).
Face aux menaces nouvelles que pose la cybersécurité en France, les TPE et PME font partie des structures qui ont le moins le réflexe de se protéger, souvent par manque de temps, de moyens financiers ou encore d’expertise technique.
De plus, la nature des risques a évolué au cours des dernières années. Les techniques d’attaques se complexifient et les attaquants ne se prennent plus la peine de cibler de grandes entreprises : les TPE et PME sont aujourd’hui également concernées. Ainsi, même une PME ne détenant pas de données particulièrement sensibles peut être la cible d’une cyberattaque.
L’ANSSI énumère trois critères pour déterminer la sécurité d’un système d’informations :
Au nombre des programmes de soutien en cybersécurité pour les PME figurent les ressources mises à disposition par l’ANSSI, dont le guide « La cybersécurité pour les TPE/PME en 12 questions ». En voici quelques recommandations clés pour protéger les PME en matière de cybersécurité et de RGPD.
Il s’agit de répertorier les équipements (appareils, serveurs, périphériques) et logiciels, mais aussi les données, les accès, les interconnexions et points de contact avec l’extérieur de l’entreprise ou sur internet. Plus on connait son périmètre a défendre, sa surface d'attaque, plus il est aisé d’appliquer des mesures de sécurité efficaces.
Réaliser des sauvegardes régulières voire quotidiennes des données sensibles de l’entreprise est indispensable pour faire face à une cyberattaque qui causerait un chiffrement de données ou l’arrêt de l’activité. Aussi, il est recommandé de réaliser plusieurs types de sauvegardes : sur le cloud mais aussi sur un support physique. Ainsi, si le réseau est touché, il sera possible de remettre le système informatique en l’état de la dernière sauvegarde réalisée et de reprendre l’activité le plus normalement et rapidement possible.
Chaque nouvelle version d’une application ou d’un système s’accompagne de correctifs qui renforcent la sécurité de leur utilisation. Aussi, l’utilisation d’outils non mis à jour peut s’avérer très risquée : les failles de sécurité déjà connues peuvent facilement être exploitées par les cyberattaquants qui ont les moyens de savoir quelle version est utilisée sur quelle machine.
Un antivirus est conçu pour protéger un système des cyberattaques, et s’acquitte très efficacement de cette mission… à condition qu’il soit correctement déployé sur l’ensemble des appareils et équipements et qu’il soit maintenu à jour. Ce dernier point est essentiel, car un antivirus ne couvre que les menaces connues, et qu’il en émerge de nouvelles chaque jour.
Autre dispositif de protection recommandé, le pare-feu. Un pare-feu déployé sur un poste de travail va non seulement le protéger des attaques issues d’Internet, mais aussi l’isoler du reste du réseau en cas d’intrusion. Tous les grands systèmes d’exploitation offrent des pare-feux intégrés, qu’il suffit d’activer.
L’ANSSI recommande aux entreprises de mettre en œuvre une politique officielle pour la définition et la mise à jour des mots de passe. Un « bon » mot de passe doit comporter a minima 12 caractères, dont des majuscules, des minuscules, des chiffres et des caractères spéciaux. Qui plus est, il convient d’utiliser des mots de passe différents pour des services différents, et de les changer régulièrement. Dès que cela est possible, il est recommandé d’opter pour une authentification multifacteur, idéalement incluant un mode d’identification physique.
Dans un contexte où les cyberattaques ne sont plus ciblées touchent désormais les entreprises les moins bien protégées, il devient plus que nécessaire pour les PME et TPE de s’assurer contre les cyberattaques. Pour une centaine d’euros par mois, il est désormais possible de se protéger et de s’assurer contre une attaque qui peut causer la faillite de l’entreprise.
Une fois toutes ces mesures mises en place, il sera plus facile de prouver sa bonne hygiène cyber auprès de partenaires et de potentiels clients qui souhaitent travailler avec une TPE ou une PME.
Le gouvernement encourage les TPE et PME à se protéger contre les cyberattaques en donnant accès à des formations qui permettent de nommer en interne un référent en cybersécurité. Ainsi, de plus en plus d’organismes de formation ont recours au référentiel pédagogique de formation à la cybersécurité des TPE et des PME pour pouvoir proposer la formation “référent en cybersécurité”. Cette formation est labellisée SECNUMEDU-FC et recommandée par l’ANSSI.
En savoir plus sur les métiers de la cybersécurité en entreprise.
Les TPE (très petites entreprises, ou microentreprises) et PME (petite et moyenne entreprises) sont, respectivement, des sociétés à l’effectif inférieur à 10 personnes et au chiffre d’affaires n’excédant pas 2 millions d’euros, et des sociétés employant moins de 250 personnes et réalisant un chiffre d’affaires de 50 millions d’euros maximum. Il y a en France 3,5 millions de petites et moyennes entreprises, soit 99,8 % des entreprises et plus de 45 % de l’emploi, selon le gouvernement.
Paralysie des opérations, atteinte à l’image, perte financière ou de revenus… Les dommages résultant d’une cyberattaque peuvent impacter diverses dimensions de l’activité d’une entreprise. Et les conséquences en sont souvent très lourdes.
Un questionnaire de la cybersécurité administré par l’ANSSI a permis à l’institution de dresser un tableau de ce secteur d’activité extrêmement dynamique. Au nombre des enseignements figurent les profils les plus recherchés par les employeurs : consultant en cybersécurité, architecte en cybersécurité, ingénieur cybersécurité.
Sources :