Marge de progression

Comme en attestent de nombreuses études, les PME ont une forte marge de progression en matière de cybersécurité. Pour la plupart, elles commencent seulement à prendre la mesure de l’ampleur des risques encourus. Cette contribution est le premier volet d’une série de cinq articles consacrée aux PME et à la cybercriminalité.

Selon la presse, l’attaque a pris tout le monde de court. En février 2020, des hackers ont piraté le réseau informatique de la Technische Werke Ludwigshafen, une société d’économie mixte chargée de la distribution d’énergie dans la ville du sud-ouest de l’Allemagne, et ont volé 500 Go de données, dont des informations sur ses clients, salariés et partenaires commerciaux ainsi que les identifiants de certains comptes. L’entreprise n’a pas payé la rançon exorbitante demandée. Résultat : les cybercriminels ont diffusé les données volées sur le darknet en mai. Une aubaine pour les autres cyberpirates qui, à leur tour, ont pu s’essayer au chantage. L’entreprise a depuis appris à ses clients comme protéger leurs données.

Des milliards de dollars de dommages

Le piratage informatique de Ludwigshafen n’est que la partie émergée de l’iceberg. Les vols de données sensibles sont monnaie courante, mais rares sont les entreprises qui osent en parler, de peur d’en ébruiter les conséquences désastreuses. D’après le réassureur allemand Munich RE, la facture s’élèverait à 600 milliards de dollars en 2018 à l’échelle mondiale. Dans les plus petites entreprises, plus de la moitié des attaques sont fructueuses pour les pirates, selon l’étude « Cyberrisiken im Mittelstand » (« les cyberrisques dans les PME ») réalisée en 2018 par Forsa pour la Fédération allemande des sociétés d’assurance. Pourtant, les entreprises sont généralement inconscientes, voire naïves, face à ce fléau. Ainsi, en Allemagne, 71 % des PME estiment que le risque d’une cyberattaque est faible.

Petites entreprises, grands risques

Les risques encourus sont pourtant bien réels. Parmi les excuses les plus répandues reviennent souvent « l’entreprise est trop petite » ou « nous n’avons aucune donnée de valeur ». Il faut bien savoir que les cybercriminels n’accordent que peu d’importance à la taille ou à la valeur des données. Ils piratent les données tous azimuts dans l’espoir de cibler une victime vulnérable. L’an dernier, l’Office fédéral allemand de la sécurité des technologies de l’information (BSI) a recensé près de 400 000 nouveaux logiciels malveillants par jour. Dans cette perspective, les petites comme les grandes entreprises en feront tôt ou tard les frais si elles ne se protègent pas correctement. 

Une prise de conscience salutaire

Bonne nouvelle : les PME prennent petit à petit la mesure du risque, du moins en Allemagne. Dans une étude publiée en 2019 par la compagnie d’assurance allemande Gothaer Versicherung, 43 % des PME qui emploient jusqu’à 500 salariés estiment que la cyberattaque constitue la plus grande menace, contre seulement 32 % deux ans plus tôt. Un chiffre rassurant pour la compagnie, qui affirme que l’assurance cyber est un « géant endormi ». 

Dans les plus petites entreprises, plus de la moitié des attaques sont concluantes. 

Apprendre de ses erreurs

Malheureusement, les promesses de mesures de protection sont souvent des vœux pieux. La procrastination, voire l’insouciance, finit toujours par balayer les bonnes volontés. Les entreprises ont beau connaître les risques, elles sautent rarement le pas, comme le montre l’étude Forsa : 73 % d’entre elles estiment être suffisamment protégées contre les cyberattaques. L’expérience a montré qu’il est souvent trop tard lorsqu’elles se rendent compte de leur erreur. Elles en paient alors le prix fort. En matière de cybersécurité, il vaut mieux ne pas penser que cela n’arrive qu’aux autres. 

La prévention avant tout

Markus Schliess connaît bien le sujet. Le juriste spécialisé en informatique basé à Stuttgart conseille les entreprises en matière de protection contre la cybercriminalité et de risques juridiques. Il prône avant tout la prévention. En concertation avec la direction des entreprises, il dispense des formations pour sensibiliser les salariés. « Par exemple, les dispositions réglementaires en matière de protection des données sont extrêmement strictes », rappelle Markus Schliess. En cas de perte de données, une entreprise pourrait bien subir une double peine : payer la rançon exigée par les cybercriminels ou le prix des dommages informatiques, et s’acquitter des lourdes pénalités imposées par l’administration en raison du non-respect de la réglementation en vigueur. « L’autorité de contrôle vérifie attentivement que toutes les mesures ont été prises pour éviter la perte de données. » Selon Markus Schliess, une entreprise qui peut attester de la formation appropriée de ses salariés en matière de protection des données n’a généralement pas à craindre des sanctions de l’administration.

Marche à suivre

« De nombreuses PME ont besoin d’assistance quand il s’agit de préparer et de mettre en œuvre des mesures de prévention, de détection et de réponse, » explique Arne Schönbohm, président de l’Office fédéral allemand de la sécurité des technologies de l’information (BSI). Il existe aujourd’hui de multiples ressources pour les PME, comme la carte d’urgence élaborée par l’Office fédéral allemand. Cette carte, disponible sur tous les écrans des salariés, décrit la marche à suivre en cas de suspicion d’attaque. Règle n° 1 : ne pas paniquer. Règle n° 2 : appeler le numéro indiqué pour obtenir de l’aide. De même, les entreprises peuvent contacter le service d’intervention d’urgence informatique développé par l’Office fédéral avec de nombreux partenaires, dont la Charte de la confiance, créée à l’initiative de Siemens, notamment. Cette Charte contient également un plan en trois phases pour apprendre aux PME à agir face à la menace. 

Un problème, une solution

Certains ont tendance à sous-estimer les risques et accusent la digitalisation d’être à l’origine de la cybercriminalité. Au contraire : elle pourrait même être une partie de la solution selon une étude de Bitkom. Plus le niveau de digitalisation d’une entreprise est élevé, moins elle est en danger. Cependant, la digitalisation n’est pas toujours une réalité pour les entreprises.

 

Dans cette perspective, Siemens aide les entreprises à protéger non seulement leurs infrastructures, mais aussi leurs produits, solutions et services destinés à leurs clients. En outre, Siemens a travaillé avec de grandes entreprises du monde entier pour créer la Charte de la confiance, constituée de dix principes.

 

Pour en savoir plus sur les risques de cyberattaques ou pour solliciter l’aide de Siemens, cliquer ici.

Cet article est le premier d’une série de cinq consacrée aux PME et à la cybercriminalité. Tout part d’un constat simple : les PME sont souvent la cible privilégiée des cyberpirates. Dans ce contexte, ces différents articles explorent les différents comportements à adopter en cas d’attaque. Figurent aussi quelques conseils aux entreprises pour se protéger à un prix raisonnable et pour faire de la cybersécurité un enjeu majeur de leur stratégie, notamment avec l’aide de Siemens. Le lien du prochain épisode sera disponible dès sa publication.

Bernd Müller