Actu
« Cyber PME » accompagne les entreprises dans leur stratégie cybersécurisation
Depuis le 6 décembre, le dispositif « Cyber PME » est effectif. Il permet d’accompagner les PME et ETI dans leur montée en compétences sur la cybersécurité dans le cadre du plan France 2030. S’appuyant sur une approche à 360°, il propose à ces entreprises un diagnostic jusqu’à la mise en œuvre d’un plan d’actions, en incluant l’achat de solutions.
Sur le mois d’octobre, l’entreprise CréaWatt Group (100 salariés), qui conçoit et fabrique des panneaux solaires innovants, a fait l’objet de 46 nouvelles cyber-attaques, dont 12 en très haut niveau. Sur le seul mois de novembre, ce ne sont pas moins de 140 attaques, relate son dirigeant Jean-Noël Gaine. « On a même eu un survol de drones ». Étant « d’intérêt national » –elle équipe toutes les bases militaires françaises–, l’entreprise est fortement concurrencée. « Nous envoyons un rapport aux renseignements généraux tous les 15 jours et une fiche de surveillance au ministère de l’Intérieur », explique le dirigeant.
Pour Jean-Noël Barrot, ministre délégué chargé du Numérique, la cybersécurité est « aujourd’hui à la fois un enjeu de sécurité nationale et un enjeu économique ». Heureusement, certains dirigeants se sont emparés du sujet. Le dirigeant de CréaWatt Group s’estime ainsi « en avance » en termes de cybersécurité. « Nous travaillons avec une société extérieure qui nous conseille sur la cybersécurité et nous nous battons sur la prévention avec nos salariés ». Le dirigeant a notamment mis en place trois niveaux de sécurité : un serveur en interne, un serveur dans un autre bâtiment, une sauvegarde sur le cloud et une autre sur un data center externe.
Malheureusement, alors que le risque cyber concerne toutes les entreprises –d’après le rapport Hiscox d’avril 2021 sur la gestion des cyber-risques, près de la moitié des PME et ETI ont subi au moins une cyber-attaque en 2020– et que le risque augmente fortement à l’aube des JO 2024, toutes ne sont pas préparées à de tels risques et n’ont pas mis en place d’actions de prévention. Pour le gouvernement, si « les grands groupes ont les moyens de se doter d’une stratégie active de cybersécurisation de leurs processus, ce n’est pas forcément le cas pour les petites et moyennes entreprises ».
Diagnostic cyber-sécurité
Vol de données, sabotage, demandes de rançon, atteinte à l’image… « Les attaques cyber peuvent avoir des conséquences désastreuses pour une entreprise ou pour son fournisseur », prévient Jean-Noël Barrot. Face à la recrudescence des cyberattaques en tous genres, il a annoncé à l’occasion de l’European Cyber Week 2022 une série de mesures. Doté d’une enveloppe financière de 12,5 millions d’euros, le dispositif d’accompagnement Cyber PME vise à « accompagner nos entreprises à développer un ‘réflexe cyber’ » et propose notamment aux PME et ETI un diagnostic gratuit en ligne.
Objectif : identifier les actions à mettre en œuvre en priorité au vu de l’analyse de la sécurité de leurs systèmes d’information (SI). Etalé sur 8 jours, ce « diag Cybersécurité » effectué sur un seul site physique permet de « dresser un état des lieux de l’exposition de l’entreprise aux risques cyber », explique Bpifrance chargé d’opérer le dispositif en collaboration avec l’ANSSI et le Secrétariat général pour l’investissement (SGPI).
Cela passe d’abord par un pré-cadrage téléphonique entre l’expert, le dirigeant et le responsable SI, un diagnostic organisationnel pour sensibiliser les collaborateurs, évaluer le niveau de sécurité des infrastructures SI – salle serveur, postes sensibles ou équipements industriels connectés au réseau– et des interviews des responsables SI, des utilisateurs clés et des prestataires IT afin de mesurer le niveau de maturité cyber des pratiques actuelles et la vulnérabilité des actifs de l’entreprise.
Enfin, un diagnostic technique vient compléter l’analyse via la réalisation de tests techniques pour identifier les failles de sécurité de manière plus approfondie. La restitution du diag cybersécurité comprend un plan d’action présentant des recommandations adaptées au contexte de l’entreprise, des actions priorisées en fonction de leur impact sur le niveau de sécurité du SI et des éléments de préparation à la gestion de crise cyber.
Lire aussi Assurance : « Le risque cyber est clé, surtout à l’aube des JO 2024 »
Programme d’appui et de conseil
Son coût ? 8 800 € HT. À noter cependant qu’il est pris en charge à hauteur de 50 % dans le cadre du plan France 2030. Objectifs, diffuser les bonnes pratiques en matière de cybersécurité, effectuer un bilan des forces et des faiblesses de la protection du SI de l’entreprise, proposer des recommandations priorisées, chiffrées et adaptées au contexte de l’entreprise afin d’assurer un niveau de sécurité adéquat et la préparer à la gestion de crise cyber. 2
Autre dispositif, la sécurisation de certaines PME et ETI dites « prioritaires ». Parmi elles, les entreprises des secteurs de l’aéronautique civile et de l’énergie, en raison de « leurs activités liées à la sécurité nationale et de l’importance des acteurs de la sous-traitance ».
Néanmoins, d’autres secteurs d’activité peuvent également être éligibles. Ce dispositif Cyber PME, piloté par la Direction générale des Entreprises (DGE), prévoit pour les bénéficiaires un accompagnement sur mesure par un expert habilité désigné par Bpifrance qui suit le projet de A à Z. Depuis la phase d’audit jusqu’à la mise en place d’une solution de sécurisation de leur système d’information en passant par la co-élaboration d’un plan d’action priorisé. Pour candidater, rendez-vous au guichet d’accompagnement des entreprises sur www.entreprises.gouv.fr « Cyber PME » France 2030.
Lire aussi Où en sont les TPE/PME avec le numérique ?
Charlotte de Saintignon
Commentaires