Les PME : des cibles faciles

« Nous ne sommes pas concernées », pensent de nombreuses petites et moyennes entreprises quand il est question de cybersécurité. Or, dans ce chapitre de notre série consacrée à la cybercriminalité, nous verrons pourquoi les PME sont au contraire particulièrement ciblées par les pirates informatiques.

Imaginez un arbre chargé de fruits délicieux. Il ne vous viendrait pas à l'esprit de grimper jusqu'à la cime pour en cueillir les pommes ou les cerises, même si elles semblent bien plus charnues et juteuses en hauteur. Vous saisiriez plutôt les fruits que vous pouvez atteindre sans échelle.

 

On utilise souvent cette métaphore dans le milieu professionnel : on apprend à exécuter les tâches qui nécessitent peu d'efforts avant de s'atteler aux produits plus difficiles à fournir au client.

 

Malheureusement, les pirates informatiques appliquent le même principe. Leurs attaques ne sont pas particulièrement élaborées, elles ne visent telle ou telle entreprise spécifiquement. Les pirates s’efforcent plutôt de saisir les opportunités qui sont à leur portée quand ils écument Internet. Ainsi, sur 1 million d’e-mails dupliqués, même si seules 100 personnes peu méfiantes cliquent sur la pièce jointe infectée, et si 10 d'entre elles paient la rançon demandée pour débloquer leur ordinateur, c'est de l'argent vite gagné. 

Les sommes s’accumulent

Mais qui tient le rôle des fruits à portée de main de notre métaphore initiale ? Il y a dans le monde des millions de petites et moyennes entreprises qui, croyant qu'elles n'intéressent pas les hackers, négligent leur cybersécurité. Mais les cybercriminels le savent bien. C'est d'ailleurs pour cela qu'ils préfèrent lancer des quantités d'attaques automatisées sur de petites entreprises, en comptant sur l'accumulation. Et cette stratégie paie : selon une estimation du réassureur Munich RE, les attaques informatiques ont engendré 600 milliards de dollars de pertes dans le monde en 2018.

 

Plusieurs enquêtes reflètent ce décalage entre la perception de la menace, jugée limitée, et sa réalité beaucoup plus inquiétante. D'après l'étude Forsa 2018 intitulée « Les risques informatiques pour les petites et moyennes entreprises », menée pour le compte de la Fédération allemande des sociétés d'assurances (GdV), 34 % des PME interrogées se pensent concernées ; 73 %, en revanche, se jugent suffisamment protégées. 

De nombreuses PME ont déjà été attaquées

On pourrait aller jusqu'à parler de « principe d'espérance » – car la réalité est loin d'être si rose. Un tiers des entreprises ont déjà été victimes d'une attaque, confirment les auditeurs de la société EY (anciennement Ernst & Young). Dans une enquête de Horvath & Partners, ce chiffre atteint même deux tiers. Le nombre d'incidents non signalés est considérable : EY indique que 15 % ont été découverts par pur hasard, et qu'un grand nombre ne l’ont probablement même pas été. L'étude Forsa pour la GdV prouve que les cyberattaques sont d'autant plus efficaces que l'entreprise visée est petite. On pourrait dire que les fruits les plus aisés à attraper, ce sont elles.

 

« Les entreprises ont peur, mais elles agissent encore peu », explique Peter Kühfuß, directeur de KMPC Innovation, une start-up basée à Heilbronn (Allemagne) qui aide les entreprises à mettre leurs machines en réseau grâce à des capteurs et à exploiter l'Internet des Objets au moyen d'un outil de suivi de la production. Ce spécialiste des technologies de l'information à destination des professionnels est d’autant mieux placé pour comprendre les défis auxquels font face les PME. Une sécurité informatique mal adaptée s’explique souvent par une méconnaissance des processus de travail internes. 

Une sécurité informatique mal adaptée s’explique souvent par une méconnaissance des processus de travail internes.

Prenons un exemple : le service commercial d'une entreprise veut mettre en place une nouvelle structure pour améliorer les ventes. Il apparaît bientôt que la production n'est pas en mesure de fournir des quantités très importantes. La direction se lance alors dans une recherche effrénée de méthodes pour améliorer la productivité, par exemple en utilisant des capteurs pour suivre les performances des machines. Ici, se jeter sur la mauvaise solution risque de créer des failles dans la sécurité informatique. « C'est la raison pour laquelle nous commençons par nous réunir dans le cadre d'ateliers, afin de déterminer ce que l'entreprise souhaite réellement » explique Peter Kühfuß. 

Accéder aux données en lecture, mais pas en écriture

Comment cela peut-il fonctionner exactement ? C'est ce qu’illustre le projet I4sec, financé par le ministère allemand de l'Éducation et de la Recherche. KMPC et ses partenaires industriels œuvrent au développement de concepts de collecte et de transmission sécurisée des données des capteurs pour les tâches de maintenance à distance. Buday, fabricant de rubans adhésifs techniques, participe au projet. À quel moment le bord du cutter s'émousse-t-il ? Quelle était la température au moment où la colle a été appliquée ? Telles sont les informations que l’entreprise compte exploiter pour améliorer son efficacité et la qualité de ses produits, sans introduire des failles de sécurité en interne. Pour cela, il y a une règle d'or : les données transmises par les capteurs doivent rester en lecture seule, et aucune commande ne peut être renvoyée au système de contrôle de la machine.

 

L'unité de capture des données (Data Capture Unit , DCU) de Siemens applique le même principe. Elle permet de collecter les données émises par les actifs critiques et industriels et de les transmettre directement vers le cloud à des fins d'analyse et de maintenance prédictive, tout en éliminant complètement les risques informatiques inhérents à ce type de connexion. La DCU exploite la technologie de diode de données de Siemens, qui garantit une transmission unilatérale des données (en lecture seule) tout en maintenant une séparation physique entre les réseaux industriel et informatique. Les pirates informatiques ne peuvent plus manipuler à distance les actifs critiques ou industriels, puisque la fonction de sécurité est assurée par la conception même du circuit, et non par le logiciel.

Ces solutions font partie intégrante de la vision holistique de la sécurité informatique adoptée par Siemens. À travers cette approche, l’entreprise protège au mieux l’infrastructure dont se servent tous ses départements, mais aussi les produits, les solutions et les services destinés à ses clients. De surcroît, Siemens a uni ses forces à celles des leaders de différents secteurs du monde entier afin d'établir une Charte de confiance : 10 principes directeurs sur lesquels tous types d'entreprises peuvent s’appuyer. 

Le coronavirus affecte la sécurité informatique

Car il est urgent d'agir : « les entreprises doivent faire davantage pour la cybersécurité et développer leur savoir-faire numérique », insiste Peter Kühfuß. Le constat est d'autant plus vrai dans le contexte de la crise sanitaire actuelle, qui a provoqué des bouleversements socio-économiques sans précédent dans l'époque contemporaine.  Résultat : une utilisation accrue des solutions de cloud et des outils de vidéoconférence, notamment, sans précautions de sécurité. La COVID-19 agit ainsi comme un catalyseur sur ces problématiques. Compter sur le fait qu'on n'a jamais été victime d'une attaque serait particulièrement hasardeux, pour n'importe quelle entreprise. Après tout, les pirates savent exploiter cette négligence. On peut donc s'inquiéter que la tâche soit désormais tellement aisée, et que les cybercriminels n'aient qu'à tendre la main pour faire une belle récolte.

 

Pour découvrir les risques informatiques auxquels les entreprises sont vulnérables et comment s'en protéger — notamment avec l'aide de Siemens — cliquez ici.

Notre série de cinq articles porte sur les moyens qui permettent aux PME de se prémunir contre les risques informatiques. Cet article est le second. Cliquez ici pour accéder au premier. La série se consacre à expliquer pourquoi les petites entreprises sont plus souvent touchées par les attaques, et quel est le rôle des salariés. Elle donne également des conseils aux entreprises pour se protéger des attaques moyennant un budget raisonnable, et intégrer cette question dans leur stratégie globale – par exemple, avec l'aide concrète de Siemens. Un lien vers chaque nouvel article sera intégré à celui-ci dès leur publication.