La cybersécurité pour les TPE et PME : enjeux et bonnes pratiques

Virginie L.
Dernière mise à jour :

La révolution numérique a ouvert aux petites et moyennes entreprises tout un éventail d’opportunités nouvelles : gains de productivité, renforcement de la compétitivité, possibilité de conquérir de nouveaux marchés… Mais, revers de la médaille, les TPE et PME sont également tout particulièrement exposées aux nouveaux risques et aux nouvelles menaces issus du cyberespace.

Adopter un certain nombre de bonnes pratiques peut cependant aider à renforcer la cybersécurité des TPE/PME.

bonnes pratiques cybersécurité PME

État des lieux de la cybersécurité des TPE/PME en France

Voici plusieurs années que les problématiques liées à la cybersécurité des entreprises prennent de l’ampleur et de la résonance. Si aujourd’hui l’ensemble des organisations sont concernées par les menaces, les petites et moyennes structures (TPE et PME) sont « particulièrement à risque », d’après un rapport cybersécurité de l’ANSSI (l’Autorité Nationale en matière de Sécurité de défense des Systèmes d’Information).

Des chiffres qui parlent d’eux-mêmes

  • La moitié des PME françaises ont subi une cyberattaque en 2020.
  • Pourtant, l’IFOP constate que seuls 25 % des chefs de TPE/PME se sentent menacés…
  • …et que seulement un tiers d’entre eux ont doté leur entreprise d’un expert responsable de la cybersécurité…
  • …alors même que le coût médian d'une cyberattaque s’élève à 50 000 euros. Ce qui est susceptible de mettre une petite entreprise en grave difficulté financière, voire de la conduire à la faillite.

Pourquoi les TPE-PME sont-elles les plus ciblées par les cyberattaques ?

Face aux menaces nouvelles que pose la cybersécurité en France, les TPE et PME font partie des structures qui ont le moins le réflexe de se protéger, souvent par manque de temps, de moyens financiers ou encore d’expertise technique.

De plus, la nature des risques a évolué au cours des dernières années. Les techniques d’attaques se complexifient et les attaquants ne se prennent plus la peine de cibler de grandes entreprises : les TPE et PME sont aujourd’hui également concernées. Ainsi, même une PME ne détenant pas de données particulièrement sensibles peut être la cible d’une cyberattaque.

cible PME cyberattaque

Les bonnes pratiques de cybersécurité pour les TPE/PME

Quels sont les trois principes fondamentaux de la cybersécurité ?

L’ANSSI énumère trois critères pour déterminer la sécurité d’un système d’informations :

  • Confidentialité : seules les personnes autorisées ont accès au système et aux données sensibles.
  • Disponibilité : les personnes autorisées ont accès au système et aux données depuis l’endroit et l’heure prévus à cet effet (connexion sécurisée, sur les horaires de travail par exemple).
  • Intégrité : afin de garantir la fiabilité des données, celles-ci ne peuvent être modifiées que par les personnes autorisées. Les modifications sont réalisées d’après un processus établit.

6 conseils cybersécurité de l’ANSSI

Au nombre des programmes de soutien en cybersécurité pour les PME figurent les ressources mises à disposition par l’ANSSI, dont le guide « La cybersécurité pour les TPE/PME en 12 questions ». En voici quelques recommandations clés pour protéger les PME en matière de cybersécurité et de RGPD.

1- Commencer par dresser un inventaire

Il s’agit de répertorier les équipements (appareils, serveurs, périphériques) et logiciels, mais aussi les données, les accès, les interconnexions et points de contact avec l’extérieur de l’entreprise ou sur internet. Plus on connait son périmètre a défendre, sa surface d'attaque, plus il est aisé d’appliquer des mesures de sécurité efficaces.

2- Sauvegarder régulièrement les données

Réaliser des sauvegardes régulières voire quotidiennes des données sensibles de l’entreprise est indispensable pour faire face à une cyberattaque qui causerait un chiffrement de données ou l’arrêt de l’activité. Aussi, il est recommandé de réaliser plusieurs types de sauvegardes : sur le cloud mais aussi sur un support physique. Ainsi, si le réseau est touché, il sera possible de remettre le système informatique en l’état de la dernière sauvegarde réalisée et de reprendre l’activité le plus normalement et rapidement possible.

3- Faire les mises à jour rapidement

Chaque nouvelle version d’une application ou d’un système s’accompagne de correctifs qui renforcent la sécurité de leur utilisation. Aussi, l’utilisation d’outils non mis à jour peut s’avérer très risquée : les failles de sécurité déjà connues peuvent facilement être exploitées par les cyberattaquants qui ont les moyens de savoir quelle version est utilisée sur quelle machine.

4- Déployer des solutions d’antivirus et de pare-feux

Un antivirus est conçu pour protéger un système des cyberattaques, et s’acquitte très efficacement de cette mission… à condition qu’il soit correctement déployé sur l’ensemble des appareils et équipements et qu’il soit maintenu à jour. Ce dernier point est essentiel, car un antivirus ne couvre que les menaces connues, et qu’il en émerge de nouvelles chaque jour.

Autre dispositif de protection recommandé, le pare-feu. Un pare-feu déployé sur un poste de travail va non seulement le protéger des attaques issues d’Internet, mais aussi l’isoler du reste du réseau en cas d’intrusion. Tous les grands systèmes d’exploitation offrent des pare-feux intégrés, qu’il suffit d’activer.

5- Mettre en place une politique forte pour les mots de passe

L’ANSSI recommande aux entreprises de mettre en œuvre une politique officielle pour la définition et la mise à jour des mots de passe. Un « bon » mot de passe doit comporter a minima 12 caractères, dont des majuscules, des minuscules, des chiffres et des caractères spéciaux. Qui plus est, il convient d’utiliser des mots de passe différents pour des services différents, et de les changer régulièrement. Dès que cela est possible, il est recommandé d’opter pour une authentification multifacteur, idéalement incluant un mode d’identification physique.

Bon à savoir
« 123456 » et « azerty » figurent sur le podium des mots de passe les plus utilisés en France. Si de tels mots de passe présentent l’avantage d’être faciles à retenir, ce sont également de véritables passoires en matière de cybersécurité car ils sont tout aussi simples à deviner. Il en va de même pour les mots de passe basés sur des informations personnelles (noms des proches, etc.).

6- Souscrire une assurance cyber

Dans un contexte où les cyberattaques ne sont plus ciblées touchent désormais les entreprises les moins bien protégées, il devient plus que nécessaire pour les PME et TPE de s’assurer contre les cyberattaques. Pour une centaine d’euros par mois, il est désormais possible de se protéger et de s’assurer contre une attaque qui peut causer la faillite de l’entreprise.

Assurez-vous contre les cyberattaques
Stoïk vous assure à moindre coût et vous met à disposition des outils de monitoring du risque.
Demander un devis

Une fois toutes ces mesures mises en place, il sera plus facile de prouver sa bonne hygiène cyber auprès de partenaires et de potentiels clients qui souhaitent travailler avec une TPE ou une PME.

Comment définir un référent cybersécurité en PME ?

Le gouvernement encourage les TPE et PME à se protéger contre les cyberattaques en donnant accès à des formations qui permettent de nommer en interne un référent en cybersécurité. Ainsi, de plus en plus d’organismes de formation ont recours au référentiel pédagogique de formation à la cybersécurité des TPE et des PME pour pouvoir proposer la formation “référent en cybersécurité”. Cette formation est labellisée SECNUMEDU-FC et recommandée par l’ANSSI.

En savoir plus sur les métiers de la cybersécurité en entreprise.

Foire aux questions

Qu’est-ce qu’une TPE et une PME ?

Les TPE (très petites entreprises, ou microentreprises) et PME (petite et moyenne entreprises) sont, respectivement, des sociétés à l’effectif inférieur à 10 personnes et au chiffre d’affaires n’excédant pas 2 millions d’euros, et des sociétés employant moins de 250 personnes et réalisant un chiffre d’affaires de 50 millions d’euros maximum. Il y a en France 3,5 millions de petites et moyennes entreprises, soit 99,8 % des entreprises et plus de 45 % de l’emploi, selon le gouvernement.

Quelles sont les conséquences d’une cyberattaque en entreprise ?

Paralysie des opérations, atteinte à l’image, perte financière ou de revenus… Les dommages résultant d’une cyberattaque peuvent impacter diverses dimensions de l’activité d’une entreprise. Et les conséquences en sont souvent très lourdes.

Qui travaille dans le domaine de la cybersécurité ?

Un questionnaire de la cybersécurité administré par l’ANSSI a permis à l’institution de dresser un tableau de ce secteur d’activité extrêmement dynamique. Au nombre des enseignements figurent les profils les plus recherchés par les employeurs : consultant en cybersécurité, architecte en cybersécurité, ingénieur cybersécurité.

Sources :