Marge de progression

La nouvelle a provoqué un choc : paralysée par une cyberattaque survenue en novembre 2019, la société Lise Charmel, fabriquant de lingerie, était mise en redressement judiciaire, fin février 2020, à sa demande. La cause ? Une attaque par rançongiciel (ransomware) : tous les postes de travail et tous les fichiers de l’entreprise se sont en effet retrouvés chiffrés. Cette « prise d’otage » comme le dit son dirigeant Olivier Piquet, a mis l’entreprise dans une situation commerciale et financière très compliquée : arrêt de production, retards de livraison… La facture s’élève à plusieurs millions d’euros au total (pour un CA avant l’attaque de 60 M€). 

Le piratage informatique de Lise Charmel et de tant d’autres petites et moyennes entreprises, n’est que la partie émergée de l’iceberg. Lorsque les rançons, parfois exorbitantes, ne sont pas payées, les cybercriminels diffusent jusqu’à plusieurs centaines de Gigaoctets de données volées… Ainsi, les vols de données sensibles sont monnaie courante, mais rares sont les entreprises qui osent en parler, de peur d’en ébruiter les conséquences désastreuses. D’après les assureurs positionnés sur les cyber-risques comme AIG et AXA, par exemple, la facture s’élèverait à plusieurs centaines de milliards de dollars en 2018 à l’échelle mondiale. D’après l’entreprise de sécurité Kaspersky Lab, une attaque de ransomware touche les PME toutes les 40 secondes et plus de la moitié des attaques sont fructueuses pour les pirates. Pourtant, les entreprises sont généralement inconscientes, voire naïves, face à ce fléau. Ainsi, en France, plus de la moitié des PME estiment que le risque d’une cyberattaque est faible, qu’elles n’intéressent pas les cybercriminels et autant estiment, par ailleurs, avoir pris suffisamment de mesures de prévention.

Les risques encourus sont pourtant bien réels. Parmi les excuses les plus répandues reviennent souvent « l’entreprise est trop petite » ou « nous n’avons aucune donnée de valeur ». Il faut bien savoir que les cybercriminels n’accordent que peu d’importance à la taille ou à la valeur des données. Ils piratent les données tous azimuts dans l’espoir de cibler une victime vulnérable. L’an dernier, tant les autorités que les cabinets spécialisés, s’accordaient sur le chiffre de 400 000 nouveaux logiciels malveillants par jour. Dans cette perspective, les petites comme les grandes entreprises en feront tôt ou tard les frais si elles ne se protègent pas correctement. 

Bonne nouvelle : les PME prennent petit à petit la mesure du risque, comme en témoignent ces chiffres venant d'Allemagne. Dans une étude publiée en 2019 par la compagnie d’assurance allemande Gothaer Versicherung, 43 % des PME qui emploient jusqu’à 500 salariés estiment que la cyberattaque constitue la plus grande menace, contre seulement 32 % deux ans plus tôt. Un chiffre rassurant pour la compagnie, qui affirme que l’assurance cyber est un « géant endormi ». 

Malheureusement, les promesses de mesures de protection sont souvent des vœux pieux. La procrastination, voire l’insouciance, finit toujours par balayer les bonnes volontés. Les entreprises ont beau connaître les risques, elles sautent rarement le pas, comme le montre l’étude Forsa : 73 % d’entre elles estiment être suffisamment protégées contre les cyberattaques. L’expérience a montré qu’il est souvent trop tard lorsqu’elles se rendent compte de leur erreur. Elles en paient alors le prix fort. En matière de cybersécurité, il vaut mieux ne pas penser que cela n’arrive qu’aux autres. 

Comme le rappel OPPENS (Groupe Société Générale), société de conseils aux entreprises notamment en matière de protection contre la cybercriminalité et de risques juridiques, mieux vaut prévenir que guérir : cela n’a jamais été aussi vrai dans le cas des attaques informatiques touchant des entreprises. De plus, on n’en guérit pas toujours : les faillites de PME après une cyberattaque sont une triste réalité. Il faut donc prôner avant tout la prévention. En concertation avec la direction des entreprises, il faut dispenser des formations pour sensibiliser les salariés.

Mêmes constats pour Marc Watin-Augouard, directeur du centre de recherche de l’École des officiers de gendarmerie et fondateur du Forum International de la Cybersécurité (FIC) : les sociétés doivent en priorité former leur personnel. Car les risques de cyberattaques pour l’entreprise sont bien réels : on peut s’en prendre à ses finances, son patrimoine immatériel, ou à elle-même. En particulier, les dispositions réglementaires en matière de protection des données (RGPD) sont extrêmement strictes. En cas de perte (vol puis diffusion) de données, une entreprise pourrait bien subir une double peine : payer la rançon exigée par les cybercriminels ou le prix des dommages informatiques, et s’acquitter des lourdes pénalités imposées par l’administration en raison du non-respect de la réglementation en vigueur. L’autorité de contrôle, typiquement la CNIL, vérifie attentivement que toutes les mesures ont été prises pour éviter la perte de données. Et une entreprise qui peut attester de la formation appropriée de ses salariés en matière de protection des données n’a généralement pas à craindre des sanctions de l’administration.

De nombreuses PME ont besoin d’assistance quand il s’agit de préparer et de mettre en œuvre des mesures de prévention, de détection et de réponse. Il existe aujourd’hui de multiples ressources pour les PME, comme la plate-forme cybermalveillance.gouv.fr d’initiative gouvernementale, affichant les objectifs « d’Assistance et prévention du risque numérique » et dont les missions sont d'aider les entreprises, les particuliers et les collectivités victimes de cybermalveillance, de les informer sur les menaces numériques et de leur donner les moyens de se défendre. Elle permet également de déclarer un incident « post mortem » en ligne. Enfin, citons également la « Charter of Trust », Charte de Confiance, créée à l’initiative de Siemens, et dont Allianz, Airbus ou encore Total sont signataires. Cette Charte contient également un plan en trois phases pour apprendre aux PME à agir face à la menace.

Certains ont tendance à sous-estimer les risques et accusent la digitalisation d’être à l’origine de la cybercriminalité. Au contraire : elle pourrait même être une partie de la solution selon une étude de Bitkom. Plus le niveau de digitalisation d’une entreprise est élevé, moins elle est en danger. Cependant, la digitalisation n’est pas toujours une réalité pour les entreprises.

Dans cette perspective, Siemens aide les entreprises à protéger non seulement leurs infrastructures, mais aussi leurs produits, solutions et services destinés à leurs clients. En outre, Siemens a travaillé avec de grandes entreprises du monde entier pour créer la Charte de la confiance, constituée de dix principes.

Pour en savoir plus sur les risques de cyberattaques ou pour solliciter l’aide de Siemens, cliquer ici.

Bernd Müller