L’enjeu de la cybersécurité pour les PME

Protéger ses données des attaques informatiques est aujourd’hui un enjeu majeur pour la compétitivité des entreprises. Cependant, elles sont nombreuses à ne pas réaliser le danger que représentent ces attaques, et à négliger leur cybersécurité. Les PME sont les plus touchées par ce phénomène : pourquoi sont-elles si vulnérables et quelles sont les solutions à leur disposition ?

Les entreprises françaises ne sont pas conscientes du danger qui les menace

_

Aujourd’hui plus que jamais, l’importance croissante de la maîtrise de l’information fait de la protection du patrimoine immatériel un enjeu de compétitivité majeur pour les entreprises. Cependant, on observe qu’elles ne sont pas suffisamment conscientes du risque d’espionnage industriel auquel elles doivent faire face. C’est ce qu’explique Christian Harbulot, directeur de l’École de guerre économique et directeur associé du cabinet de conseil Spin Partners : « Les entreprises ne semblent pas conscientes du problème. Elles ne font pas le lien entre sécurité et compétitivité. » Pour illustrer ses propos, il prend l’exemple de l’utilisation du cloud par les entreprises pour le stockage de leurs données. Bien souvent, les solutions adoptées sont américaines et des données sensibles se retrouvent ainsi stockées sur des serveurs aux Etats-Unis, où la législation restreint très peu la collecte de données confidentielles ou concurrentielles. Les entreprises s’exposent ainsi à un véritable risque d’espionnage industriel et à la fuite d’informations sensibles pouvant nuire à leur compétitivité.

_

La criminalité informatique, ou « cyber criminalité », connait aujourd’hui une très forte croissance et représente un vrai danger pour les entreprises. Les attaques de type « phishing » ou « ransomware » sont notamment en pleine recrudescence et constituent une menace face à laquelle personne n’est épargné. En effet, les Etats, les administrations, les grandes entreprises, les TPE et PME et même les particuliers constituent tous des cibles potentielles. Dans un article du mois de novembre, nous vous parlions de l’enjeu géopolitique de la cybersécurité. Nous vous proposons aujourd’hui de vous intéresser au cas des entreprises françaises, et notamment des PME, qui s’avèrent être des cibles vulnérables et qui représentent la majorité des entreprises touchées par la cybercriminalité.

Les PME sont des cibles de premier choix pour les hackers

_

D’après une étude réalisée par Symantec, 77% des cyberattaques ayant touché la France en 2014 ont ciblé des PME. Pourquoi les PME semblent-elles si vulnérables et quelles sont les conséquences des attaques informatiques qu’elles subissent ?

_

Tout d’abord, comme nous venons de le voir, beaucoup d’entreprises ne sont pas conscientes du danger et négligent par conséquent leur système de protection. D’autres, conscientes du problème, estiment ne pas avoir le temps ni les ressources (humaines, financières, technologiques) pour construire une cybersécurité efficace. On se rend aussi compte que certaines PME ne sont simplement pas suffisamment informées sur les différents enjeux de la cybersécurité et sur les méthodes de protection qui existent, pourtant parfois simples et peu coûteuses. De plus, des pratiques « à risque » se développent au sein des PME, venant amplifier la perméabilité de l’information. On observe notamment que les salariés sont de plus en plus nomades, avec le développement du BYOD (acronyme de l’expression anglaise « Bring Your Own Device ») : l’usage d’équipements informatiques personnels dans un contexte professionnel. En effet, de plus en plus d’employés utilisent leurs appareils privés pour travailler, notamment leurs smartphones et tablettes tactiles, ce qui pose un réel problème en matière de sécurité des données. Pourtant, la majorité des entreprises ne se rendent pas compte du risque que cela représente et ne mettent pas en place de protection spécifique. Enfin, pour des raisons d’image, les entreprises ont aussi tendance à camoufler les extorsions dont elles ont été victimes. Par conséquent, ces incidents n’entrainent pas toujours une réelle évaluation du problème, ce qui empêche d’éventuels investissements pour améliorer la cybersécurité.

_

Pour ce qui est des conséquences, la plus importante est bien évidemment financière, avec une perte évaluée à 100 000 € en moyenne par cyberattaque. Certaines entreprises ne s’en remettent d’ailleurs jamais et déposent le bilan suite à l’attaque qu’elles ont subie. Aussi, être victime d’un vol de données a des conséquences importantes sur l’image de l’entreprise, et peut engendrer une perte de confiance de la part des clients ou même des différents partenaires.

Des solutions simples et peu coûteuses existent pour se protéger

_

Nous venons de voir que pour de multiples raisons, les PME négligent leur cybersécurité. Pourtant, il existe de nombreuses solutions, simples et peu coûteuses, pour se protéger du piratage informatique.

_

En janvier 2017, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié la deuxième version de son Guide d’hygiène informatique Il s’agit d’une feuille de route de 42 mesures pour optimiser la sécurité de son système d’information. Voici quelques-unes de ces bonnes pratiques :

_

  • Réaliser un état des lieux des données sensibles : Quelles sont les informations sensibles susceptibles d’intéresser les hackers ? Où sont-elles stockées ? Il faut par exemple faire particulièrement attention aux données déposées sur le cloud, comme on l’a vu précédemment, ou encore transmises par mail ou via clé USB.
  • Mettre en place différents niveaux de sécurité et créer des identifiants : tous les employés ne doivent pas avoir accès à toutes les données, et c’est aussi vrai pour les sous-traitants et hébergeurs cloud. Il faut établir différents niveaux de confidentialité, à partir de l’audit des données réalisé en amont et après avoir défini quelles sont les informations les plus sensibles, celles qu’il faut protéger.
  • Sensibiliser les équipes au risque de piratage pour favoriser la mise en place de bonnes pratiques dans leur quotidien : il faut savoir que 80% de la sécurité économique est liée à des comportements humains, d’où l’importance de la sensibilisation. Il s’agit d’encourager les employés à sécuriser leurs mots de passe en leur imposant certaines règles, à ne pas ouvrir les pièces jointes de mails venant d’adresses inconnues, à être vigilant dans l’usage des réseaux sociaux, dans l’usage de leurs appareils privés pour travailler, etc.
  • Mettre à jour les systèmes d’information et antivirus régulièrement, sauvegarder périodiquement les données stratégiques et les stocker à plusieurs endroits.
  • Gérer le nomadisme : comme nous l’avons vu précédemment, avec un usage plus en plus fréquent de terminaux privés pour travailler (smartphones, tablettes ou ordinateurs portables), les employés sont souvent amenés à travailler et communiquer en dehors du réseau sécurisé de l’entreprise. La gestion de la mobilité et la sécurisation des données utilisées dans ce cadre-là représente donc un enjeu plus que jamais clé

Pour que les PME développent leurs systèmes de protection face aux attaques informatiques, il semble important qu’elles soient sensibilisées aux problématiques de la cybersécurité. C’est pourquoi l’Etat, à travers notamment les actions de l’ANSSI, joue un rôle primordial dans le développement de stratégies de sécurité économique au sein des entreprises. En effet, l’ANSSI a pour mission de sensibiliser, de former et d’accompagner les entreprises sur ces thématiques-là. D’autres organisations, comme la Confédération des Petites et Moyennes Entreprises (CPME) ou comme les Chambres de Commerce et d’Industrie (CCI) par exemple, jouent également un rôle important. Grâce aux efforts réalisés, de nombreux progrès ont été observés au cours des dernières années, mais le chemin à parcourir est encore long.

_

Notons également que la sécurité économique n’est qu’un volet de l’intelligence économique, et doit donc s’inscrire dans une stratégie plus globale de gestion de l’information stratégique pour permettre à l’entreprise d’acquérir et conserver un avantage compétitif. C’est en alliant de façon pertinente la veille, la protection de son savoir-faire et de son patrimoine, ainsi que l’influence de son environnement que l’entreprise sera compétitive. Or aujourd’hui encore, l’intelligence économique est trop peu répandue parmi les PME : on considère que seulement 20% des PME mettent en place des actions d’intelligence économique en 2015, et que 40% d’entre elles font uniquement de la veille.

Amélie BERTON

– 


Sources :

http://www.capital.fr/evenement/le-guide-du-numerique-1183889/donnees-sensibles-faut-il-avoir-peur-du-cloud-1204253

http://lemagrh.randstad.fr/espionnage-industriel-les-pme-dans-le-viseur/

http://globbsecurity.fr/voici-tendances-de-cybersecurite-pdg-devraient-connaitre-2017-40362/

http://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

http://www.capital.fr/carriere-management/conseils/contre-les-hackers-protegez-votre-entreprise-en-7-points-1191815

https://business.lesechos.fr/entrepreneurs/marketing-vente/6-bonnes-pratiques-pour-se-proteger-du-piratage-informatique-304758.php

http://www.journaldunet.com/solutions/expert/64661/cybersecurite—le-nouvel-enjeu-des-pme.shtml

https://www.ssi.gouv.fr/uploads/2016/09/rapport_annuel_2015_anssi.pdf

http://www.lenouveleconomiste.fr/lesdossiers/intelligence-economique-un-outil-de-competitivite-pour-les-pme-26792/


 

AUCUN COMMENTAIRES

Désolé, les commentaires ne sont plus admis pour le moment.