Les PME : des cibles faciles

« Nous ne sommes pas concernées », pensent de nombreuses petites et moyennes entreprises quand il est question de cybersécurité. Or, dans ce chapitre de notre série consacrée à la cybercriminalité, nous verrons pourquoi les PME sont au contraire particulièrement ciblées par les pirates informatiques.

Imaginez un arbre chargé de fruits délicieux. Il ne vous viendrait pas à l'esprit de grimper jusqu'à la cime pour en cueillir les pommes ou les cerises, même si elles semblent bien plus charnues et juteuses en hauteur. Vous saisiriez plutôt les fruits que vous pouvez atteindre sans échelle.

 

On utilise souvent cette métaphore dans le milieu professionnel : on apprend à exécuter les tâches qui nécessitent peu d'efforts avant de s'atteler aux produits plus difficiles à fournir au client.

 

Malheureusement, les pirates informatiques appliquent le même principe. Leurs attaques ne sont pas particulièrement élaborées, elles ne visent telle ou telle entreprise spécifiquement. Les pirates s’efforcent plutôt de saisir les opportunités qui sont à leur portée quand ils écument Internet. Ainsi, sur 1 million d’e-mails dupliqués, même si seules 100 personnes peu méfiantes cliquent sur la pièce jointe infectée, et si 10 d'entre elles paient la rançon demandée pour débloquer leur ordinateur, c'est de l'argent vite gagné. 

Les sommes s’accumulent

Mais qui tient le rôle des fruits à portée de main de notre métaphore initiale ? Il y a dans le monde des millions de petites et moyennes entreprises qui, croyant qu'elles n'intéressent pas les hackers, négligent leur cybersécurité. Mais les cybercriminels le savent bien. C'est d'ailleurs pour cela qu'ils préfèrent lancer des quantités d'attaques automatisées sur de petites entreprises, en comptant sur l'accumulation. Et cette stratégie paie : selon une estimation du réassureur Munich RE, les attaques informatiques ont engendré 600 milliards de dollars de pertes dans le monde en 2018.

 

Plusieurs enquêtes reflètent ce décalage entre la perception de la menace, jugée limitée, et sa réalité beaucoup plus inquiétante. 67 % des entreprises françaises ont été la cible d’une voire plusieurs cyberattaques dans les 12 derniers mois, engendrant ainsi des pertes financières qui s’élèvent, en moyenne, à plus de 97 000 euros. Soit une augmentation de 125 % en comparaison à 2018 et ses 43 000 euros de pertes moyennes (source : Hiscox).

 

L’erreur est de croire que seuls les grands groupes sont véritablement concernés par les attaques informatiques. Et pourtant, les entreprises, de toutes tailles, sont désormais être des cibles aux yeux des cyberattaquants. Les petites structures sont tout aussi impactées par ce phénomène grandissant. N’étant pas autant préparées que les multinationales, elles font même office de cibles plus faciles pour des attaques informatiques. Depuis 2017, le nombre d’entreprises de moins de 50 employés ayant officiellement déclaré un cyber incident augmente de plus de 15 % chaque année. 

De nombreuses PME ont déjà été attaquées

On pourrait aller jusqu'à parler de « principe d'espérance » – car la réalité est loin d'être si rose. Un tiers des entreprises ont déjà été victimes d'une attaque, confirment les auditeurs de la société EY (anciennement Ernst & Young). Dans une enquête de Horvath & Partners, ce chiffre atteint même deux tiers. Le nombre d'incidents non signalés est considérable : EY indique que 15 % ont été découverts par pur hasard, et qu'un grand nombre ne l’ont probablement même pas été. L'étude Forsa pour la GdV prouve que les cyberattaques sont d'autant plus efficaces que l'entreprise visée est petite. On pourrait dire que les fruits les plus aisés à attraper, ce sont elles.

 

Les entreprises ont peur, mais elles agissent encore peu. Il est autant indispensable, d’une part, de faire appel à des solutions techniques de sécurité et à des experts en cybersécurité, que d’avoir une connaissance parfaite des processus de travail internes de l’entreprise, d’autre part.

Une sécurité informatique mal adaptée s’explique souvent par une méconnaissance des processus de travail internes.

Prenons un exemple : le service commercial d'une entreprise veut mettre en place une nouvelle structure pour améliorer les ventes. Il apparaît bientôt que la production n'est pas en mesure de fournir des quantités très importantes. La direction se lance alors dans une recherche effrénée de méthodes pour améliorer la productivité, par exemple en utilisant des capteurs pour suivre les performances des machines. Ici, se jeter sur la mauvaise solution risque de créer des failles dans la sécurité informatique. C'est la raison pour laquelle une solution peut consister, dans un premier temps, par une série d'ateliers entre l’entreprise et son conseiller sécurité afin de déterminer conjointement ce que l'entreprise souhaite réellement.

Accéder aux données en lecture, mais pas en écriture

Comment cela peut-il fonctionner exactement ? C'est ce qu’illustre le projet I4sec, financé par le ministère allemand de l'Éducation et de la Recherche. KMPC et ses partenaires industriels œuvrent au développement de concepts de collecte et de transmission sécurisée des données des capteurs pour les tâches de maintenance à distance. Buday, fabricant de rubans adhésifs techniques, participe au projet. À quel moment le bord du cutter s'émousse-t-il ? Quelle était la température au moment où la colle a été appliquée ? Telles sont les informations que l’entreprise compte exploiter pour améliorer son efficacité et la qualité de ses produits, sans introduire des failles de sécurité en interne. Pour cela, il y a une règle d'or : les données transmises par les capteurs doivent rester en lecture seule, et aucune commande ne peut être renvoyée au système de contrôle de la machine.

 

L'unité de capture des données (Data Capture Unit , DCU) de Siemens applique le même principe. Elle permet de collecter les données émises par les actifs critiques et industriels et de les transmettre directement vers le cloud à des fins d'analyse et de maintenance prédictive, tout en éliminant complètement les risques informatiques inhérents à ce type de connexion. La DCU exploite la technologie de diode de données de Siemens, qui garantit une transmission unilatérale des données (en lecture seule) tout en maintenant une séparation physique entre les réseaux industriel et informatique. Les pirates informatiques ne peuvent plus manipuler à distance les actifs critiques ou industriels, puisque la fonction de sécurité est assurée par la conception même du circuit, et non par le logiciel.

Ces solutions font partie intégrante de la vision holistique de la sécurité informatique adoptée par Siemens. À travers cette approche, l’entreprise protège au mieux l’infrastructure dont se servent tous ses départements, mais aussi les produits, les solutions et les services destinés à ses clients. De surcroît, Siemens a uni ses forces à celles des leaders de différents secteurs du monde entier afin d'établir une Charte de confiance : 10 principes directeurs sur lesquels tous types d'entreprises peuvent s’appuyer. 

Le coronavirus affecte la sécurité informatique

Car il est urgent d'agir : les entreprises doivent faire davantage pour la cybersécurité et développer leur savoir-faire numérique. Le constat est d'autant plus vrai dans le contexte de la crise sanitaire actuelle, qui a provoqué des bouleversements socio-économiques sans précédent dans l'époque contemporaine.  Résultat : une utilisation accrue des solutions de cloud et des outils de vidéoconférence, notamment, sans précautions de sécurité. La COVID-19 agit ainsi comme un catalyseur sur ces problématiques. Compter sur le fait qu'on n'a jamais été victime d'une attaque serait particulièrement hasardeux, pour n'importe quelle entreprise. Après tout, les pirates savent exploiter cette négligence.

 

Il y a quelques mois, à l’occasion du Forum International de la Cybersécurité 2020, le directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information – le « cyber-pompier » français – Guillaume Poupard soulignait que si toutes les TPE/PME françaises venaient à subir de vastes attaques informatiques sur une courte période de temps, cela pourrait engendrer un désastre économique. Même s’il rappelait au passage que nous manquons de statistiques concrètes sur l’ampleur des cyberattaques ciblant les TPE/PME, nous avons tout de même régulièrement des indicateurs sur ce que vivent les entreprises. La CPME (Confédération des Petites et Moyennes Entreprises) estimait par exemple que 4 entreprises sur 10 de moins de 50 salariés ont été victimes d’une cyberattaque en 2019.

 

Une étude du MEDEF ajoutant que 20 % des TPE touchées par une attaque ont subi un préjudice supérieur à 50 000 euros, celui-ci dépassant même les 100 000 euros pour 13 % d’entre elles.

 

On peut donc s'inquiéter que la tâche soit désormais tellement aisée, et que les cybercriminels n'aient qu'à tendre la main pour faire une belle récolte.

 

Pour découvrir les risques informatiques auxquels les entreprises sont vulnérables et comment s'en protéger — notamment avec l'aide de Siemens — cliquez ici.

Août 2020

 

Notre série de cinq articles porte sur les moyens qui permettent aux PME de se prémunir contre les risques informatiques. Cet article est le troisième. Cliquez ici pour accéder au premier. La série se consacre à expliquer pourquoi les petites entreprises sont plus souvent touchées par les attaques, et quel est le rôle des salariés. Elle donne également des conseils aux entreprises pour se protéger des attaques moyennant un budget raisonnable, et intégrer cette question dans leur stratégie globale — par exemple, avec l’aide concrète de Siemens. Un lien vers chaque nouvel article sera intégré à celui-ci dès leur publication.

 

Partie 1 : Marge de progression

Partie 2 : Des cibles faciles

Partie 3 : L’humain, la faille du système informatique 

Partie 4 : La digitalisation en toute sécurité

Partie 5 : La cybersécurité en 3 étapes

Abonnez-vous à la newsletter

Restez à jour à tout moment : ce que vous devez savoir sur la transformation numérique au sein des infrastructures et des industries.