La cybercriminalité cible aussi les petites entreprises : il est urgent de se protéger !

La cybercriminalité cible aussi les petites entreprises : il est urgent de se protéger !

Finissons-en rapidement avec cette idée reçue : non, les cyberattaques ne ciblent pas que les Grands Groupes

Les petites entreprises : une cible de choix des cyberattaques

Les pirates informatiques lancent chaque jour des milliers d’attaques de manière aléatoire. Ce large balayage leur donne plus de chance d’identifier des vulnérabilités et d’en tirer une contrepartie financière. Car chaque entreprise, quelle que soit sa taille, possède des informations de valeur qui se revendent facilement (coordonnées bancaires, coordonnées clients…) et un ensemble de données qui, si elles ne sont plus accessibles (dans le cas d’une attaque de type rançongiciel par exemple), bloquent le bon fonctionnement de l’entreprise et permettent aux pirates d’exiger le paiement d’une rançon pour les débloquer.

Les petites entreprises sont aussi touchées.Ce sont même des cibles de choix car leurs systèmes de sécurité sont souvent moins élaborés. D’après une enquête de la CPME, en 2019, plus de 2 petites entreprises sur 5 avaient déjà essuyé une cyberattaque. Et la cybercriminalité s’est amplifiée avec la crise sanitaire. Selon l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), le cyber-risque a globalement augmenté de 25% avec la crise sanitaire. En particulier, les attaques par rançongiciels ont été multipliées par 4 entre 2019 et 2020 et les tentatives d’hameçonnage ont été multipliées par 5.

Les petites entreprises sont même les plus touchées si l’on regarde le montant des pertes liées aux cyberattaques proportionnellement à la taille de l’entreprise. Le rapport Hiscox 2021 sur les cyber-risques montre que le coût médian de l’ensemble des attaques sur les petites entreprises est égal à 7 273€. Dans de nombreux cas, les montants sont prohibitifs. Selon le MEDEF, 20% des TPE attaquées ont subi un préjudice supérieur à 50 000€ et 13% ont subi un préjudice dépassant les 100 000€.

Quels sont les principaux cyber-risques pour les petites entreprises ?

Les menaces qui pèsent sur toutes les entreprises sont nombreuses aujourd’hui (et sont souvent accentuées dans un contexte de télétravail). Voici quelques exemples des principaux cyber-risques :

  • Piratage d’un système informatique, souvent réalisé par hameçonnage (technique frauduleuse destinée à voler des informations personnelles ou professionnelles -comptes d’accès, mots de passe, compte bancaire…- en se faisant passer pour un tiers de confiance) ou via des rançongiciels (logiciels malveillants qui bloquent l’accès à vos données informatiques et vous proposent de déverrouiller l’accès aux fichiers contre le paiement d’une rançon) ;
  • Arnaque aux faux ordres de virement bancaire (attaque qui pousse ou contraint la victime à réaliser un virement de fonds sur un compte frauduleux) ;
  • Attaque de type déni de service (attaque qui vise à rendre inaccessible votre serveur afin de provoquer une panne ou un fonctionnement fortement dégradé de votre service) ;
  • Défiguration de site internet ;

Ces cyber-risques ont surtout un coût important pour l’entreprise attaquée. Car au-delà des frais les plus évidents liés à la résolution du problème (enquête technique, amélioration de la sécurité du système d’information et sécurisation des données post-attaque lorsqu’elles sont récupérées, honoraires d’avocat et frais de justice le cas échéant, relations publiques…), de nombreux coûts cachés peuvent venir s’ajouter pour l’entreprise (impacts liés à la perturbation ou l’arrêt de l’activité, augmentation des primes d’assurance, perte de contrats clients, dégradation de l’image de marque…).

Comment se protéger ?

Se former à la sécurité électronique et former ses collaborateurs

L’humain est souvent le maillon faible en termes de cybersécurité. Il est donc important de sensibiliser et former ses collaborateurs aux bonnes pratiques numériques (ex : utiliser des mots de passe forts, réfléchir à la provenance d’une pièce jointe, vérifier la présence de protocole HTTPS sur les sites utilisés, connaître les menaces…).

La formation doit aider l’entreprise et ses collaborateurs à respecter les bonnes pratiques en matière de cybersécurité, connaître les principales menaces et adopter les bons réflexes pour ne pas tomber dans les pièges et apprendre à se préparer pour savoir réagir en cas d’attaque.

Voici quelques bonnes pratiques à maîtriser :

  • Ne jamais communiquer d’informations sensibles par téléphone, par messagerie (compte bancaire, mot de passe…) ;
  • Vérifier l’origine des messages reçus (l’expéditeur, l’adresse du site internet vers lequel pointe le message, l’éditeur du programme à installer…) et ne pas ouvrir les messages ou pièces jointes suspects, ne pas cliquer sur les liens suspects… ;
  • Sécuriser les accès aux sites et applications en utilisant des mots de passes différents et complexes pour chaque site et application, et activer la double authentification dès que possible (ex : login, mot de passe et code reçu par SMS).

Sauvegarder les documents et données les plus sensibles de l’entreprise

Il est important de mettre en place un système de sauvegarde régulière des documents et données de l’entreprise. A minima, les documents et données les plus sensibles sans lesquels l’entreprise ne peut pas fonctionner normalement et/ou perd son patrimoine (ex : sauvegarde du logiciel de gestion, fichier client, contrats clients ou fournisseurs importants, bulletins de paie des salariés…).

Plusieurs systèmes de sauvegarde peuvent être utilisés (stockage physique, stockage en ligne plus ou moins sécurisé). N’hésitez pas à utiliser deux solutions en parallèle car tous les supports de stockage possèdent des vulnérabilités.

Le coffre-fort numérique est la solution de stockage en ligne la plus sécurisée : les fichiers stockés sont cryptés (chiffrement des données) et la solution dispose de fonctionnalités de traçabilité qui garantissent un contrôle des accès et un suivi des opérations réalisées sur les données et documents stockés.

Identifier les vulnérabilités informatiques et renforcer la cybersécurité

Il convient tout d’abord de sécuriser les différents matériels ou postes de travail qui se connectent au réseau internet (ordinateurs, tablettes, smartphones, serveur…) en les équipant d’un antivirus, d’un antimalware et d’un pare-feu de dernière génération. Il convient également de mettre à jour régulièrement ces protections, ainsi que les systèmes d’exploitation de vos matériels et les logiciels installés pour bénéficier des derniers correctifs de sécurité. En cas de télétravail, il est nécessaire de s’assurer que les terminaux qui se connectent à distance au réseau de l’entreprise répondent à ces mêmes exigences de sécurité. Il convient enfin de sécuriser également votre réseau, notamment si vous avez un réseau Wi-Fi.

Pour travailler et échanger, les entreprises utilisent de plus en plus de services hébergés sur internet et stockent de plus en plus de données sensibles en ligne. Or tous les services utilisés ne sont pas toujours très sécurisés. Au-delà de la sécurité des équipements qui accèdent à ces services, il convient de mettre en place un contrôle des accès aux services en ligne. En premier lieu, l’entreprise doit définir et valider les services professionnels auxquels peuvent accéder ses collaborateurs.

Ensuite, elle doit définir et contrôler les accès à ces services qu’elle accorde à ses collaborateurs (comptes individuels non partagés, niveau de sécurité des mots de passe, paramétrage des droits cohérent avec les fonctions et responsabilités de chaque collaborateur, suppression des accès pour les collaborateurs partis…).

Comment réagir en cas d’attaque ?

Une attaque informatique peut toujours survenir et réussir à contourner les protections mises en place. Il est donc important de connaître les bons réflexes pour mettre en œuvre les bonnes actions.

En cas de piratage de votre système informatique, la première chose est d’isoler les équipements concernés en les déconnectant du réseau. Vous pourrez ensuite, seul ou avec l’aide d’un prestataire spécialisé, analyser la situation, identifier l’origine possible du piratage et ses impacts, et trouver les solutions à mettre en œuvre pour reprendre votre activité.

N’oubliez pas en parallèle de déposer plainte au commissariat de police ou à la brigade de gendarmerie, ou encore par écrit au procureur de la République du tribunal judiciaire dont votre entreprise dépend. Par ailleurs, en cas de violation de données à caractère personnel, et selon les risques pour les personnes dont les données ont été compromises, vous pourriez être dans l’obligation de notifier l’incident à la CNIL (Commission Nationale de l'Informatique et des Libertés).

Le gouvernement français a mis en ligne un site internet dédié qui explique les menaces qui pèsent aujourd’hui sur toutes les entreprises, donne des conseils pour se préparer et savoir réagir en cas d’attaque. Vous trouverez également sur ce site des professionnels en cybersécurité qualifiés capables de vous apporter leur assistance technique. N’hésitez pas à le consulter : www.cybermalveillance.gouv.fr.