Attaques informatiques : c'est aussi une affaire de TPE/PME

Des actions pour sensibiliser les dirigeants d’entreprises à la question de la cybersécurité se développent. Ainsi, la stratégie nationale pour la sécurité du numérique publiée en octobre dernier prévoit toute une série de mesures destinées à promouvoir des outils de protection contre la cybercriminalité et à en évaluer la portée. De son côté, la CGPME (1) a, en collaboration avec l’ANSSI (2), mis en place un guide des bonnes pratiques de l’informatique que les entreprises peuvent télécharger gratuitement (voir ci-dessous).

Vulnérabilité des TPE/PME

Selon la dernière enquête de la CGPME sur la cybersécurité de juin 2015, 27 % des entreprises interrogées (sur 340) ont déclaré avoir été victimes d’actes de cybermalveillance. Les TPE seraient les plus vulnérables (49 %) « Avec des systèmes informatiques comportant des failles faute de moyens de protection performants, les petites entreprises représentent une cible plus facile pour les cyberdélinquants» indique Nicolas Arpagian, Directeur du Cycle «Sécurité numérique» à l’INHESJ(3). «Bien souvent les dirigeants de TPE/PME ne se sentent par concernés par les problématiques de cyberattaque parce qu’ils estiment que leur entreprise est trop petite ou n’a pas une activité pouvant intéresser des hackers » commente Cyrille Tessier, coordinateur sectoriel à l’ANSSI «ce qui est une erreur car dès lors qu’elles ont une adresse IP ou des courriels indésirables, elles rentrent dans leurs cibles».

En fait, la liste des risques encourus par les TPE/PME est longue : usurpation d’identité, vol de données de toutes sortes (personnelles, bancaires, savoir-faire), paralysie du système etc. Par exemple, cette mésaventure est arrivée à François Asselin, président de la CGPME et PDG d’une entreprise de restauration des monuments historiques (147 salariés). Celui-ci a vu tous ses serveurs tomber à l’ouverture d’une pièce jointe suivie d’un message lui réclamant X milliers d’euros pour récupérer la clé de déverrouillage de ses fichiers.

Cependant, des solutions pour se protéger contre des cyberattaques sont parfaitement accessibles aux TPE/PME.

Des règles de protection accessibles

Le guide de bonnes pratiques de la CGPME comporte des règles de vigilance simples comme par exemple choisir un mot de passe adéquat et le changer régulièrement, mettre à jour ses logiciels, ne pas laisser trop d’informations personnelles ou professionnelles sur les réseaux sociaux etc. « Nous avons mis en place ce guide pour montrer aux entreprises qu’appliquer des règles basiques permet d’éviter bien des soucis» confirme Marie Prat, Commission économie numérique de la CGPME

Mais le chef d’entreprise ne peut se passer de logiciels de protection performants. «L’incident ne doit pas être le seul vecteur de la sécurité. Il convient de se prémunir » conseille Nicolas Arpagian qui précise que « Les outils de sécurité doivent être vus comme un investissement et non comme une dépense supplémentaire».

A noter que l’ANSSI a créé le label PASSI (Prestataires d’audit de la sécurité des systèmes d’information), qui donne de la fiabilité aux prestataires d’audit de la sécurité des systèmes d’information l’ayant obtenu.

De son côté, l’État a annoncé un dispositif national destiné à porter assistance aux victimes d’actes de cybermalveillance dès 2016.