Les grandes entreprises ne sont pas les seules à être touchées par les pirates. Loin de là. Selon une étude Verizon de 2019, 43 % des victimes de cyberattaques seraient des PME. Un chiffre qui aurait même largement augmenté depuis l’augmentation du télétravail lié au Covid-19, qui tend à rendre les réseaux de l’entreprise plus vulnérables.
Ce début d’année 2021 est propice pour passer en revue les défis de cybersécurité auxquels sont exposés les PME.
Quelles sont les menaces principales et d’où viennent-elles ? Quelles actions mettre en place pour s’en prémunir ? Quels bénéfices attendre d’une démarche de cybersécurité efficace ?
Pour répondre à ces questions, nous avons interrogé deux professionnels particulièrement concernés par ces défis :
- Laurent Hausermann, Directeur ingénierie Sécurité IoT chez Cisco
- Winoc Coppens, Directeur des systèmes d’information du groupe 20 Minutes
Dans cette interview, ils nous livrent leur analyse des principaux risques cyber auxquels seront confrontés les PME en 2021, ainsi que leurs conseils-clés pour lutter contre les cyberattaques.
Les principaux risques cyber en 2021 pour les PME
En 2020, le télétravail et la croissance du BYOD (Bring Your Own Device, c’est-à-dire l’utilisation de terminaux personnels dans un contexte professionnel) ont favorisé et accéléré les cyberattaques. Selon une étude Proofpoint, 9 entreprises françaises sur 10 auraient été victimes de cyberattaques l’année dernière.
Lire aussi : [Solutions numériques] Cybermenaces : “l’heure est grave”, Guillaume Poupart
Trois types d’attaques visent en particulier les PME :
Les malwares / ransomwares
Pour Winoc Coppens, la première menace pour les PME est le malware / ransomware.
Le malware est “un virus qui va crypter toutes les données, empêchant ainsi le collaborateur (voire toute l’entreprise) d’accéder à ses fichiers”. Il s’agit d’une des attaques “les plus simples à mener” pour les pirates, qui “pêchent au gros” en envoyant à un ensemble d’adresses e-mail un message corrompu, en espérant que le propriétaire de l’une d’elles l’ouvrira sur son poste de travail.
En somme, cela consiste à “prendre en otage les données de l’entreprise, puis à demander une rançon [d’où le nom de ransomware] pour en débloquer l’accès”, explique Laurent Hausermann.
Lire aussi : [Podcast] Attaques informatiques : la déferlante des rançongiciels
“Dans ce type d’attaque, le pirate opère toujours de la même manière :
- il cherche un point de distribution initial, par exemple un email avec des liens malveillants envoyé à des collaborateurs.
- suite au clic dans l’email, le malware s’installe automatiquement sur le poste du collaborateur, voire sur le serveur de l’entreprise.
- on observe alors souvent une phase de déplacement latéral, où le ransomware va se répliquer très rapidement d’un serveur à un autre ; et au terme de sa propagation, c’est parfois l’ensemble de l’informatique de l’entreprise qui se retrouve verrouillé”.
Une fois les données verrouillées, les pirates reviennent vers l’entreprise pour exiger de l’argent en échange du décryptage / déblocage des données. Une pratique de racket classique, mise au goût du jour de l’économie numérique.
Lire aussi : Tentative d’intrusion : comment Lactalis a échappé à la catastrophe
Les attaques par déni de service (DDos)
Les attaques DDoS (Distributed Denial of Service), ou attaques par déni de service, consistent à “rendre un site ou un service web inaccessible en créant un afflux massif de trafic qui va paralyser le serveur”, explique Winoc Coppens.
Hors des PME dont l’activité est la vente de produits ou services en ligne, ces attaques sont peu courantes que les malwares et ransomwares, et n’ont souvent pas un impact aussi important.
Les menaces internes
Plus difficiles à détecter, les menaces internes proviennent de toute personne ayant accès aux données sensibles de votre entreprise : vos employés, vos fournisseurs, vos partenaires, et même vos anciens collaborateurs.
Ces menaces peuvent être soit involontaires, c’est-à-dire liées à un accident ou une négligence de la part d’un utilisateur (c’est ce qui arrive le plus souvent), soit malveillantes, c’est-à-dire avec l’objectif de nuire à l’entreprise.
“Le coup ‘classique’, qui arrive de temps en temps, est celui de l’ancien salarié ou du salarié frustré par son sort, qui revient se connecter et effacer des fichiers”, prévient Laurent Hausermann.
Les actions clés à mettre en place
Pour anticiper ces différents risques, Laurent Hausermann estime que la DSI doit consacrer des efforts importants et volontaristes pour mettre en place à la fois des outils et des actions préventives. L’ordre d’idée ? “environ 10 % de son budget informatique total” :
Les règles basiques d’hygiène informatique
Pour le Directeur ingénierie et sécurité IoT de Cisco, “la priorité pour la PME est de mettre en place les règles élémentaires d’hygiène informatique”, telles que :
- la réalisation de sauvegardes régulières
- la souscription d’une police d’assurance Cyber “qui permettra de se faire accompagner par un spécialiste en cas d’attaque”
- la mise en place d’une politique de mise à jour régulières des systèmes
- la mise en oeuvre d’une politique de gestion des mots de passe
- le déploiement d’un antivirus
- la réalisation d’un audit de sécurité tous les ans
Ces pratiques d’hygiène informatique sont un rempart déjà important pour se prémunir contre de nombreux risques (comme le rappelait récemment la CISA Cybersecurity & Infrastructure Security Agency, entité dédiée à la cybersécurité, dépendante du gouvernement américain).
La sécurisation des accès à distance
Ensuite, il lui faut “sécuriser l’accès aux données et aux plateformes cloud à distance”. Particulièrement avec la généralisation du télétravail et la multiplication de l’accès à des services distants.
Pour cela, Laurent Hausermann détaille plusieurs bonnes pratiques :
- mettre en place un VPN sécurisé
- revoir la gestion des accès à distance et mettre régulièrement à jour la liste des utilisateurs pouvant accéder aux ressources de l’entreprise, afin de lutter contre les menaces internes
- utiliser un système d’authentification à deux facteurs, qui permet de vérifier l’identité du collaborateur en deux étapes (sur PC, puis sur son mobile)
- mettre en place des solutions de gestion des appareils mobiles (MDM) pour pouvoir effacer les données à distance en cas de perte ou de vol de l’appareil
C’est tout l’esprit des approches Zero Trust qui sont aujourd’hui plébiscitées par les experts.
Lire aussi : Travail hybride : comment sécuriser les données partagées par vos collaborateurs ?
La segmentation réseau
Winoc Coppens souligne également l’importance de “segmenter le réseau”, c’est-à-dire de diviser les applications et l’infrastructure de l’entreprise en différents segments, afin de contenir les cyberattaques et d’éviter qu’elles se propagent à d’autres zones.
“L’idée est de choisir plusieurs modules et solutions, et de les installer sur différents systèmes ou serveurs. C’est bien connu : il ne faut pas mettre tous ses oeufs dans le même panier. »
Une autre alternative pour réduire les surfaces d’attaque est de “limiter les emails échangés au quotidien, surtout en interne”. Adopter une plateforme collaborative va permettre ainsi d’échanger des informations en direct sur un tchat d’équipe, réduisant d’autant les flux d’emails internes… et donc le danger.
Lire aussi : Comment l’Agence Bergamote a réduit ses emails de 95% et boosté sa productivité avec Talkspirit
La sensibilisation et la formation
Enfin, et c’est l’élément le plus important : il faut sensibiliser et former régulièrement les utilisateurs aux risques et bonnes pratiques de sécurité. Une étape essentielle pour leur faire prendre conscience de leur rôle et leur faire adopter les bons réflexes.
Pour cela, l’entreprise peut “organiser chaque trimestre des réunions d’information sur les risques de cybersécurité, et en rendre obligatoires certaines”, propose Laurent Hausermann.
Le but est de responsabiliser les utilisateurs.
“Chez 20 Minutes, nous invitons les collaborateurs à appliquer les mêmes bonnes pratiques dans la sphère professionnelle et dans leur sphère personnelle. L’enjeu de cette prise de conscience est qu’ils finissent par voir ces précautions non comme des contraintes mais comme des réflexes qui vont dans le sens de leur intérêt”, explique Winoc Coppens.
Pour élaborer ces sessions de formation, l’entreprise peut s’appuyer sur de nombreuses ressources en ligne. Par exemple, “l’ANSSI propose sur son site web des webinaires et de la documentation très utile pour les DSI”, indique Winoc Coppens.
Lire aussi : Vincent Montet, EFAP : « La formation est une des réponses au darwinisme digital »
Dans son « Guide des bonnes pratiques de l’informatique« , la CPME propose à ses adhérents 12 règles indispensables pour garantir la sécurité informatique de leur entreprise, notamment :
• Choisir avec soin ses mots de passe
• Mettre à jour ses logiciels
• Bien connaître ses utilisateurs et ses prestataires
Il existe plusieurs plateformes pour se former. Laurent Hausermann mentionne notamment le programme NetAcad de Cisco, qui propose des cours en ligne pour développer ses compétences en informatique. Pour l’expert en cybersécurité, “il est important d’offrir cette opportunité de formation aux collaborateurs, car c’est par les connaissances et les compétences qu’ils arriveront à repérer les cyber menaces qui les entourent”.
“En tant que DSI, une autre bonne pratique est de s’inscrire dans un club de DSI, comme le CLUSIR ou le Clusif ”, afin d’échanger sur les meilleures solutions à mettre en place et de partager des retours d’expérience avec ses pairs.
Les bénéfices d’une politique de cybersécurité efficace
Selon les deux professionnels, mettre en place ces différentes actions présente deux avantages principaux pour les PME :
Un enjeu de pérennité
“L’entreprise ayant mis en place plusieurs bonnes pratiques de cybersécurité se donne de meilleures chances de survie face à une attaque”, déclare Laurent Hausermann. En effet, certaines entreprises ne se relèvent pas de telles attaques ou si elles sont déjà fragiles, cela peut constituer leur coup de grâce (comme par exemple pour la marque de lingerie Lise Charmel en 2020).
Lire aussi : Ransomware chez Sopra Steria : un incident à 40 millions d’euros ?
Pourtant, encore trop peu d’entreprises prennent les mesures nécessaires. Selon la National Cyber Security Alliance, 60 % des PME victimes d’une cyberattaque font faillite au bout de six mois, ce qui montre bien leur vulnérabilité face à un événement non prévu.
Un avantage concurrentiel
“Avoir une politique de cybersécurité efficace peut aussi être un facteur de compétitivité pour la PME, car cela va rassurer à la fois les clients et partenaires, mais aussi les collaborateurs”, explique Winoc Coppens.
En effet, les décideurs exigent de plus en plus de garanties de la part des entreprises partenaires ou sous-traitantes. Ils auront plus confiance dans une PME qui porte une attention particulière à la sécurité de ses données, et seront plus susceptibles de travailler avec elle.
À l’avenir, Laurent Hausermann estime que “les grandes entreprises et l’Etat vont renforcer leurs exigences en termes de sécurité informatique dans les appels d’offres, et imposeront à leurs fournisseurs de se conformer à ces critères.”
*
* *
En 2021, les DSI et les Responsables informatiques des PME françaises vont devoir redoubler d’efforts pour protéger efficacement leur entreprise contre les différentes menaces pesant sur leur cybersécurité. En plus du renforcement des infrastructures, la sensibilisation et la formation seront également essentielles. Un défi de taille à relever pour les services Informatique et les Ressources Humaines.
Vous souhaitez en savoir plus sur les bonnes pratiques de cybersécurité et les outils à mettre en place dans un contexte de travail hybride mêlant télétravail et présentiel ? Consultez notre livre blanc « Travail hybride : la DSI face à de nouveaux défis » :
Accéder au Livre Blanc
Dans notre Livre Blanc “Travail hybride : la DSI face à de nouveaux défis”, vous découvrirez : les 3 défis majeurs des DSI à l’ère du travail hybride ; des conseils concrets pour accélérer votre transformation digitale, sécuriser vos postes de travail et améliorer l’expérience collaborateur, ainsi que les témoignages de 10 DSI travaillant dans des entreprises, administrations et associations.
¹ Digital Transformation Index 2020 de Dell Technologies
–
Auteure : Emmanuelle Abensur