Gestion de la petite entreprise
TPE/PME : Pourquoi et comment se protéger des cyberattaques ?
9 avril 2024
Saviez-vous que selon certaines études, 50 à 80 % des entreprises ayant perdu leurs données suite à une cyberattaque font faillite dans l’année qui suit1 ? Le risque informatique est souvent sous-estimé dans les petites entreprises. Pourtant, elles sont plus visées que les autres. Comment se protéger des cyberattaques en tant que petite entreprise ? Quels sont les types d’attaques que vous pouvez subir ? Comment réagir en cas de problème ?
Comment se protéger des cyberattaques : les TPE/PME, cibles privilégiées des pirates informatiques
Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), les TPE, PME et ETI concentrent 90 % des cyberattaques. Les petites entreprises en particulier, sont par exemple 9 fois plus touchées que les organismes publics2 !
Pourquoi les petites et moyennes entreprises sont les cibles des cyberattaques ?
Pourquoi un tel acharnement sur ces entreprises ? D’abord parce que les systèmes informatiques des TPE, qui disposent de moyens plus modestes, sont généralement moins bien protégés. Ensuite parce que les dirigeants sont souvent concentrés sur leur métier et moins sensibilisés à ces problématiques.
Les TPE/PME cibles privilégiées des pirates informatiques en quelques chiffres
Le résultat est dramatique : 36 % des entreprises de moins de 10 salariés ont été touchées par au moins une attaque au cours de l’année écoulée, un chiffre en progression de 50 % en 3 ans3 ! C’est énorme, quand on sait que le coût médian pour l’entreprise d’une telle situation est de 15 000€4.
Alors concrètement, comment se protéger des cyberattaques et quels sont les risques auxquels vous devez faire face ?
Comment se protéger des cyberattaques : les différents types d’attaques
Une attaque informatique peut revêtir des formes diverses. Les connaître, c’est déjà commencer à se protéger. Toutes les menaces ne sont pas au même niveau, comme le montre le tableau ci-dessous5.
Quels sont les différents types de cyberattaques ?
Attardons-nous sur les 3 premiers cas, qui concentrent à eux seuls plus de la moitié des attaques.
1. Rançongiciel (22 % des attaques)
Également connu sous le nom de « ransomware », le rançongiciel est un logiciel malveillant installé à votre insu au cœur de votre système informatique. Activé, il chiffre vos données et les rend inaccessibles. Le pirate vous réclame ensuite une rançon en échange de la restauration de vos données. Le plus souvent, l’attaquant joue sur le sentiment d’urgence en fixant un ultimatum et une rançon croissante en fonction de votre temps de réponse.
2. Intrusion dans les systèmes d’information (20 % des attaques)
Pour se trouver confronté à cette situation, il suffit d’ouvrir une pièce jointe malveillante, de cliquer sur le mauvais lien ou d’insérer une clé USB infectée dans votre ordinateur par exemple. Ces manipulations banales ouvrent alors les portes de votre appareil et de votre réseau à un pirate informatique.
3. Piratage de compte (14 % des attaques)
Bien que 3e au classement, c’est peut-être l’attaque la plus connue du grand public. Dans cette situation, le cybercriminel prend le contrôle d’un compte (messagerie, réseaux sociaux, plateforme quelconque, etc.) au détriment de son propriétaire légitime. Libre à lui ensuite de publier du contenu en votre nom, de réaliser des opérations, de supprimer vos données, ou de vous menacer de publier des informations confidentielles sur internet par exemple.
Comment se protéger des cyberattaques : anticiper les risques
Comment se prémunir du risque de cyberattaque ?
On l’a dit, les TPE/PME sont souvent bien moins préparées que les grandes entreprises en matière de cybersécurité, notamment pour des raisons de coût. Pourtant, il est possible de réduire significativement le risque sans engager des sommes importantes.
En effet, dans la plupart des cas, il s’agit d’abord de bonnes pratiques, qu’on regroupe souvent sous la dénomination « cyber-hygiène » : mettre en place une bonne gestion des mots de passe, interdire l’ouverture de pièces jointes en provenance d’expéditeurs non identifiés, créer des procédures de sauvegardes régulières, mettre à jour constamment ses logiciels, etc.
Au-delà de ces bonnes pratiques, d’autres actions peuvent être envisagées au sein de votre entreprise. Voici quelques exemples :
Réaliser un autodiagnostic
Comment mesurer la fragilité de son entreprise face au risque de cyberattaque lorsqu’on est pas un spécialiste du sujet ? Plusieurs outils gratuits, en ligne, vous permettent d’évaluer vous-même les risques, par exemple :
- le guide « La cybersécurité pour les TPE/PME en 13 questions », publié par l’Anssi, qui aborde des points variés, comme « Effectuez-vous des sauvegardes régulières ? », « Comment sécurisez-vous votre messagerie ? » ou « Savez-vous comment réagir en cas de cyberattaque ? ».
- le test Cybersécurité du MEDEF, qui vous permet de vérifier vos connaissances en matière cyber, par un système de questions /réponses.
Sensibiliser vos salariés
En matière de cybersécurité, tout le monde est concerné ! Bien sûr, en tant que dirigeant, protéger l’entreprise relève de votre responsabilité. Mais bien souvent, les cybercriminels visent d’autres membres de l’entreprise, comme les secrétaires, ou les comptables, qui disposent d’un pouvoir conséquent et sont souvent moins sensibilisés.
Concrètement, comment préparer ses collaborateurs ? Voici quelques suggestions :
- prévoir des formations aux bonnes pratiques et à la « cyber hygiène » ;
- simuler des hameçonnages par mail : il s’agit de façon régulière, d’envoyer de faux mails de piratage pour tester la réaction de votre équipe, et leur permettre d’acquérir de bons réflexes. Plusieurs éditeurs proposent des solutions en ligne pour automatiser ces exercices ;
- mettre vos collaborateurs en situation : là encore, des outils sont disponibles gratuitement, comme la « Mallette Cyber pour sensibiliser les salariés de TPE/PME aux menaces en ligne », publiée par France Num, qui inclut notamment un jeu de carte imprimable sur le thème de la cybersécurité.
Souscrire à une assurance cyber
La souscription d’une police d’assurance « cyber » permet de couvrir les risques liés aux attaques numériques, comme :
- les pertes financières significatives (frais de récupération et de restauration des données, compensation pour perte d’exploitation, etc.) ;
- les dommages à la réputation ;
- les conséquences du non-respect du RGPD, dont les frais de notification aux personnes concernées, les coûts de services experts en monitoring et surveillance pour détecter toute utilisation malveillante des données compromises, et l’intégralité des frais juridiques en cas de poursuites par des tiers lésés.
Assurance cyber : les entreprises françaises en retard ?
En France, 57 % des entreprises disent être équipées d’une assurance cyber6. Mais cette moyenne masque de grandes disparités : 94 % des grandes entreprises sont assurées dans ce domaine, contre… 0,2 % seulement pour les entreprises qui réalisent moins de 2 millions d’€ de chiffre d’affaires7 ! On ne peut donc que vous encourager à prendre contact avec un assureur pour examiner votre situation.
Comment se protéger des cyberattaques : action, réaction ?
De l’avis de nombreux spécialistes, « la question n’est pas de savoir si vous serez visé par une cyberattaque, mais quand ». Que faire si toutes les précautions mises en place n’ont pas suffit ?
Comment réagir en cas de cyberattaque ?
Avant tout, il est évidemment essentiel d’avoir réfléchi à cette question en amont, et d’avoir mis en place un plan de continuité de l’entreprise. L’Anssi formule par ailleurs plusieurs recommandations pratiques :
- déconnecter son équipement ou son système d’information d’entreprise d’Internet. L’Anssi précise : « pour un équipement individuel, cela peut se traduire par la déconnexion de la prise réseau ou la désactivation des services Wifi. Pour un SI d’entreprise, l’action peut être menée sur l’équipement réseau ou le pare-feu d’entreprise. Cela permettra de contenir les actions de l’attaquant et réduira en particulier ses capacités d’exfiltration de données » ;
- ne pas éteindre ni modifier les ordinateurs et matériels affectés par l’attaque, qui seront utiles aux enquêteurs ;
- en cas de rançongiciel, ne jamais payer la rançon demandée ;
- ouvrir une main courante pour tracer les actions et les événements liés à l’incident ;
- réfléchir à la communication autour de l’évènement : en interne bien sûr, mais aussi auprès des clients et partenaires.
Comment se protéger des cyberattaques : la cybersécurité n’est pas un sujet de grande entreprise !
Particulièrement ciblées et plus fragiles, les TPE ont beaucoup à perdre en matière de cyberattaque. Il est donc indispensable de mesurer l’exposition de votre entreprise aux risques, de mettre en place des mesures de prévention, et d’imaginer un plan de continuité en cas d’attaque.
Dans ce domaine, Cegid, en tant que premier éditeur de Cloud français, est votre partenaire de confiance. Nous prenons très à cœur les normes de sécurité pour accompagner la croissance de votre entreprise. Respect du RGPD, garantie sur l’intégrité et la conformité de vos données, service d’astreinte 24h/24… en choisissant Cegid, vous faites le choix d’une solide expertise et d’un partenaire fiable qui comprend les enjeux de la gestion des données dans le Cloud.
Difficile de faire plus facile avec les solutions de gestion Cegid pour entrepreneurs
En savoir plus_____________
1 Rapport Sénat « La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cyber virus ? »
2 Entreprises : comment gérer une cyberattaque ?, Generali.fr
3 TPE-PME : Le risque cyber de mieux en mieux maîtrisé, cybersécurité-solutions.com
4 TPE-PME : Le risque cyber de mieux en mieux maîtrisé, cybersécurité-solutions.com
5 Source : Guide de cybersécurité à destination des dirigeants de TPE, PME et ETI, cybermalveillance.gouv.fr
6TPE-PME : Le risque cyber de mieux en mieux maîtrisé, Cybersécurité Solutions, 17 oct. 2023
7 Rapport Lucy 2023, Amrae
Nos articles recommandés pour vous
Dirigeant TPE : les nouveaux leviers pour optimiser votre rémunération !
Article 2 avril 2024 6 min
Comment l’IA peut vous aider à optimiser la gestion de votre entreprise ?
Article 28 mars 2024 2 min
