Publicité

Cyberattaque. Photo Blogtrepreneur/Flickr/CC

L’inaction des dirigeants de PME
fait le bonheur des cybercriminels

L’époque où les cyberattaques étaient le lot de quelques PME malchanceuses est bel et bien révolue. Très rentables pour les cybercriminels car plus faciles à attaquer que les grands groupes, elles sont devenues une cible de choix.

Au cours des 12 derniers mois, 21% ont été victimes d’une cyberattaque. Si le coût de ces attaques dépasse rarement les 10 000€, il peut arriver dans de très rares cas que l’entreprise victime ne s’en relève pas, notamment quand l’affaire devient publique.

Cette médiatisation a également des effets positifs. Sensibilisés par les retentissantes cyberattaques qui défraient régulièrement la chronique, les dirigeants de TPE et PME français comprennent, aujourd’hui, l’importance du risque cyber pour leurs structures. Malheureusement, ils ne savent pas comment s’y atteler.

Une étude récemment menée par Kaspersky Lab et Euler Hermes montre ainsi que seuls 19% des dirigeants de PME ont prévu des investissements dans la cybersécurité alors que c’est un sujet d’inquiétude pour 76% d’entre eux.

Cette situation paradoxale tient probablement aux discours très alarmistes, mais peu concrets, qui ont été tenus ces dernières années par les pouvoirs publics comme par les professionnels de la cybersécurité : nous avons été trop théoriques dans nos explications.

Ne sachant par où commencer pour améliorer leur sécurité informatique, les dirigeants ne font… rien.

Mesures simples pour lutter face aux cybercriminels et leurs cyberattaques

Pourtant, la cybersécurité n’est pas un sujet compliqué. De nombreuses mesures ultrabasiques peuvent être mises en œuvre pour lutter efficacement contre les attaques et réduire considérablement son risque.

Ainsi, l’entreprise peut se garantir un premier rempart de protection grâce à des mots de passe solides et en s’assurant que les mises à jour sont réalisées en temps réel, que ce soit en interne ou par le prestataire informatique de l’entreprise. La démarche est très simple et peut en général être automatisée au moyen d’un paramétrage. Ensuite, il faut s’assurer que tous les ordinateurs, mais aussi les tablettes, les smartphones et les serveurs sont protégés par des « suites de sécurité » : des modules comprenant un antivirus, des outils contre l’hameçonnage ou pour chiffrer les données.

Il existe aussi des systèmes pour protéger les données de l’entreprise en cas de vol de matériel : les informations contenues sur un smartphone ou un ordinateur dérobé peuvent en effet être effacées à distance.

Parallèlement, il faut demander à un œil extérieur de réaliser un état des lieux de son système d’information. Il n’est pas possible de prendre des décisions sans savoir exactement comment fonctionne son système d’information (SI), qui l’utilise et quelles sont les faiblesses de sécurité, mais aussi où sont stockées ses données, etc.

De nombreuses sociétés spécialisées peuvent réaliser un audit de sécurité, sur un ou deux jours, pour un coût très modéré. C’est sur la base de cet audit que l’entreprise pourra éventuellement opter pour des mesures de sécurité plus importantes, en se rapprochant d’un intégrateur ou de prestataires spécialisés.

Formation du personnel à la sécurité informatique

Sur un autre plan, il y a également des choses très simples à mettre en place en matière de formation du personnel. Aujourd’hui, la moitié des entreprises que nous avons interrogées ne forme pas ses employés à la sécurité informatique, alors que l’on sait parfaitement que les salariés constituent souvent un point faible majeur.

A la condition d’être correctement formés et sensibilisés, les salariés – depuis l’assistant jusqu’au dirigeant – pourraient au contraire devenir la meilleure protection de l’entreprise. De nombreuses sociétés proposent des modules très concrets sur l’utilisation des mots de passe, le stockage des informations confidentielles, ou encore l’identification d’un email frauduleux, etc. Ces formations, qui peuvent être réalisées en ligne, ne coûtent que quelques euros par mois et par salarié.

Il ne s’agit là que des bonnes pratiques les plus élémentaires mais les adopter permet à l’entreprise de se préparer à réagir et c’est bien là l’essentiel. Face à un groupe de cybercriminels décidé et motivé, aucune entreprise n’est imprenable, aussi protégée soit-elle.

En revanche, une entreprise qui a développé sa capacité de réaction peut considérablement réduire l’impact d’un incident. Au final, la cybersécurité est tout autant une affaire d’investissements technologiques que de culture. Et sur ce dernier point, les petites et moyennes entreprises peuvent disposer des mêmes armes que les grandes.

Tanguy de Coatpont, Directeur général de Kaspersky Lab France

Tanguy de Coatpont
Nommé directeur général de Kaspersky Lab France en juillet 2012, Tanguy de Coatpont est diplômé de l’Ecole supérieure de management des entreprises (ESPEME) qui fait partie de l’Ecole des hautes études commerciales du Nord (EDHEC). Il a occupé plusieurs postes à responsabilités dans l’univers du channel dans des grandes entreprises telles que Avaya, 3 COM ou encore NEC Philips Business Communications. Il rejoint Kaspersky Lab en 2007 et prend la tête de la division Grands Comptes dès 2009. En janvier 2012, il est nommé directeur commercial de Kaspersky Lab France et Maghreb.

ARTICLES SUR LE MÊME SUJET