Les petites et moyennes entreprises face aux grands risques cyber

La numérisation permet de multiplier les portes dérobées au sein des systèmes d’information des plus grandes institutions aux plus petites entreprises. Les grands groupes ne sont plus les seuls à vouloir immuniser leur patrimoine informationnel contre les bombes logiques. Même si TPE et PME sont généralement peu enclines à mettre en œuvre une stratégie de cybersécurité, souvent par méconnaissance des risques et manque de budget, elles s’organisent désormais pour répondre au défi majeur de la recrudescence des cyberattaques post-pandémie. Ainsi, l’Eurobaromètre sur l’impact de la cybercriminalité sur les petites et moyennes entreprises (PME) publié aujourd’hui, donne « à la Commission et aux autorités policières une meilleure vue d’ensemble ». Sommes-nous tous égaux face à la cybercriminalité ? Comment les TPE et PME perçoivent et se prémunissent contre les risques cyber ?

S’adapter à l’ère numérique

Un peu moins de la moitié des PME ne possèdent pas encore de stratégie de cybersécurité. En conséquence, ces dernières concentrent l’attention des pirates informatiques. Les services sont naturellement le secteur d’activité le plus impacté par les cyberattaques, à hauteur de 39% d’entre elles. Elles ciblent principalement les domaines de l’information et de la communication, l’industrie manufacturière non moins que les activités financières et assurantielles. Comme l’ensemble des organisations françaises, la numérisation engendre la migration des PME vers des services cloud et appareils intelligents pour gagner en compétitivité. Aujourd’hui, elles emploient à 76% un compte bancaire en ligne, à 71% un site internet pour communiquer et la majorité inclut des appareils connectés dans leur environnement de travail. La pratique du Bring your own device (BYOD) se démocratise également partout sur notre continent. En moyenne, la moitié d’entre elles assurent que leurs employés utilisent quotidiennement leurs propres équipements électroniques. Ce résultat varie fortement en fonction du contexte national puisqu’on en décompte 32 % en France et 35 % en Suède ou encore à 74 % à Chypre. Ces nouveaux entrants poussent les PME à revoir leurs stratégies de cyber protection et de sensibilisation face à la cybercriminalité. Si une rare poignée de 3% ne dispose d’aucune forme de protection, c’est bien grâce aux efforts de formation des employés engagés par les dirigeants de PME. Ces derniers estiment que leurs cadres se sentent « très bien informés » à 21% et environ la moitié serait « assez bien informés ». Au cours de l’année passée, 1/5e des PME a également formé activement ses employés sur cette thématique afin d’assurer leurs mues numériques et protéger leur patrimoine informationnel.

Des PME inquiètes

Plus que leurs données, leurs prototypes ou encore leurs recherches, c’est la protection de leurs ressources financières – notamment leurs comptes en banque – qui inquiète en majorité les chefs de petites et moyennes entreprises. Seule 1 entreprise sur 4 considère comme très important d’empêcher l’accès non autorisé à ses fichiers et réseaux. On constate une corrélation entre le niveau de préparation des États et l’inquiétude de leurs entrepreneurs. D’autant que l’efficacité des cyberattaques varie selon le niveau de préparation de nos entreprises. Presque 50% des PME portugaises furent ciblées au cours de l’année écoulée, et la prise de conscience est claire puisque les données récoltées par la Commission européenne indiquent que c’est dans ce pays que l’inquiétude face à la cybercriminalité est la plus élevée.

Les attaques prédominantes contre les PME sont le fruit de logiciels malveillants, virus ou logiciels espions, mais elles passent également par la technique du phishing et la désormais célèbre « fraude au président ». En 2021, 28% des PME européennes ont été victimes d’au moins un type de cyber-attaque. 32% ont été touchées par une attaque sur leurs comptes en banque. Le phishing, le hacking ou l’usurpation d’identité représentent 31 % et les virus et les logiciels espions ou malveillants 29 %.

Une PME sur 10 a été touchée par l’une de ces formes de cybermalveillance au cours des 12 derniers mois, quand le quart de ces structures a subi une cyberattaque sur cette même période. Les témoignages récoltés par la Commission européenne indiquent que les structures ayant souffert d’une cyberattaque ont, pour majorité, subi des répercussions supplémentaires sur leur commerce. Preuve s’il en fallait, la résilience est une valeur cardinale dans le secteur puisque ce sont dans des pays tels que l’Estonie, pionnière en matière de cybersécurité, que les entreprises ciblées ont le mieux su rebondir. Il en va de même dans les pays nordiques, eux aussi précurseurs. Le travail de prévention et de publicisation de la menace, doit donc être renforcé afin de limiter les impacts des cyberattaques à venir sur notre société. D’autant que le contexte, marqué par la guerre en Ukraine et les sanctions imposées à la Russie de Vladimir Poutine, sous-tend une augmentation des risques futurs qu’il convient de ne pas prendre à la légère et d’incorporer dans nos réflexions.

Un signalement homogène des cybercrimes ?

Selon le pays, les PME ont plus ou moins tendance à signaler un cybercrime. En Irlande, 87 % des PME ont averti au moins une entité (police, vendeur/prestataire de services ou fournisseur d’accès à Internet) sur leur statut de victime d’un cybercrime contre 29% en Hongrie. Plus globalement, il ressort que 44 % des PME européennes n’ont pas rapporté l’incident. A la question : pourquoi ne pas l’avoir signalé ? Les PME répondent à 52 % qu’il a été géré en interne. Ce chiffre atteint les 66% au niveau français. Réponse intéressante lorsque l’on sait que la réputation est l’une des principales préoccupations des entreprises. Gérer la crise en interne permet en effet d’éviter les fuites notamment auprès des clients. En cela, les attaques DDoS ou les virus de type malware ou logiciel espion sont tenus sous silence alors que les PME seraient plus enclines à dénoncer les phising, hacking ou tentative de hacking des comptes en banque en ligne.

Pour accéder au rapport dans son intégralité : https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_en