Pourquoi les PME restent une cible idéale pour les cyberattaquants ?
Le nombre de cyberattaques a explosé avec la pandémie de Covid-19. Si le milieu pharmaceutique et les hôpitaux sont de plus en plus exposés, les PME restent une cible privilégiée pour les cyberattaquants.
Selon une récente étude menée par l’Ifop pour XEFI, réalisée auprès de 400 dirigeants de TPE – PME en novembre 2021, 95 % des sondés « ont l’impression de bien savoir ce qu’est la cybersécurité ».
Mieux encore, 80 % d’entre eux estiment que leur entreprise est bien protégée face aux risques cyber. Ils sont encore 75 % à affirmer que le risque de voir leur entreprise touchée par une cyberattaque est faible… Alors que parmi les 25 % restant, près de la moitié a déjà été victime d’une cyberattaque.
Si l’on en croit ces données, les TPE et PME seraient ainsi très largement compétentes en matière de cybersécurité. Elles restent pourtant une cible privilégiée des cyberattaquants… bien que les grands groupes soient très souvent mis en avant lorsqu’ils sont touchés.
« 90 % des poissons du filet sont des PME, mais on ne parle que des gros groupes » résumait ainsi un intervenant le 9 décembre 2021 lors d’une visio-conférence organisée par l’agence Cymbioz autour du rapport des PME à la cybersécurité.
Des cyberattaquants en avance sur les PME
La fragilité des PME face aux cyberattaques était le thème principal de ce rendez-vous. Si les intervenants ont dans l’ensemble reconnu que les messages de prévention sont de plus en plus compris au sein des entreprises, ces dernières restent pourtant une proie toute désignée.
Car un écart existe encore entre la compréhension de la menace et la mise en application des moyens de défense. « En trois ans, les TPE – PME n’ont pas beaucoup avancé contrairement aux attaquants » confiait ainsi Pascal Le Digol, directeur France chez WatchGuard (fournisseur de solutions de cybersécurité dédiées au télétravail).
Le darkweb comme porte d’entrée
Du côté des attaquants, la machine s’est tout simplement industrialisée ces dernières années. « Il y a des parts de marché à prendre » dans cet écosystème en plein essor constate l’intéressé. Le darkweb constitue notamment une porte d’entrée pour ce business illégal. « C’est ultra-professionnel. Les attaquants se voient comme des businessmans, renchérit un autre intervenant. Pour 1 500 dollars, vous pouvez acheter des codes VPN. Pour 3 500 dollars, vous avez des codes administrateurs ».
Le gouffre entre attaquants et PME est d’autant plus mesurable : si d’un côté les codes VPN se revendent au marché noir, de l’autre le récent sondage Ifop pour XEFI précise que seuls 50 % des sondés ont recours à un VPN comme solution de protection… Lorsque l’autre moitié se contente encore de pare-feu et d’antivirus.
Et Joël Mollo, le vice-président de Cybereason France (plateforme de cybersécurité), de conclure sur le darkweb : « La sophistication est énorme. On peut même acheter le ”Meilleur ransomware de l’année” ».
La faille des réseaux sociaux
Mis à part le darkweb, l’autre principale avancée de ces dernières années vient des réseaux sociaux. « Les attaquants regardent les liens entre les personnes sur les réseaux sociaux pour inciter leurs cibles à cliquer (sur les mails frauduleux) », précise Joël Mollo. Les multiples fuites de données sur Facebook au cours des derniers mois n’aura sans doute pas été de trop pour les cyberattaquants.
« Il faut deux choses pour qu’une attaque fonctionne : un sentiment d’urgence et un contexte crédible » confie de son côté Adrien Gendre, directeur associé de Vade Secure (autre fournisseur de solution de cybersécurité). Et lorsque ce sentiment d’urgence provient d’une personne identifiée comme suffisamment digne de confiance pour figurer dans ses contacts LinkedIN ou Facebook, le taux de méfiance est forcément au plus bas au moment d’ouvrir le message frauduleux.
Budget et assurance ne suffisent pas
Investir sur les moyens techniques et humains est inéluctablement la première étape en termes de cybersécurité. Encore faut-il le faire à bon escient. « Il faut le budget, reconnaît Pascal Le Digol. Mais même avec les meilleurs outils du monde, si vous ne les configurez pas correctement, ce sera une passoire ».
S’agissant des cyberassurances, ce dernier craint que certaines entreprises en aient une mauvaise utilité. Autrement dit, que l’assurance soit leur premier et unique moyen d’action au lieu d’être une garantie venant compléter un arsenal dédié à la cybersécurité. « L’assurance donne l’impression que quoi que vous fassiez, elle s’occupe de tout » énonce-t-il ainsi.
Reste désormais à savoir si le travail de sensibilisation, couplé à d’autres outils d’application, permettra aux PME de rattraper leur retard sur les cyberattaquants dans un avenir proche. Selon le sondage Ifop pour XEFI, 80 % des PME représentées ont d’ores et déjà mis en place un programme de sensibilisation auprès de leurs salariés. « Les risques cyber sont comme les gestes barrières avec le Covid, il faut les rabâcher » conclut Joël Mollo.
Eitel Mabouong – Journaliste
Les plus lus…
Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Commandez la version papier du magazine Face au Risque pour un confort de lecture optimal. N.B. Les frais de port sont de 7,50 € TTC, quel que soit le nombre de magazines commandés.Dossier : JOP 2024 : à vos marques, prêts ?
Sécurité privée : géographie de la surveillance humaine, les conditions d'allongement de la validité d'un permis de feu, mise en place de la vidéoprotection algorithmique, de nouvelles limites pour l'exposition au plomb et aux diisocyanates, la sécurité des ponts en France, étude de marché sur la sécurité des chantiers... > Voir le sommaire du n° 601
Cette version du magazine numérique vous est proposée en consultation de type "flipbook" (tourné de page, zoom). Chaque numéro acheté sera consultable à partir de l'onglet "Mes magazines numériques" présent dans votre compte. N.B. Un flipbook n'est pas un fichier PDF téléchargeable.En 2024, se tiendra un nombre inédit de scrutins et près de la moitié de la population mondiale sera…
La solution française de coffre-fort numérique Lockself a publié le 30 avril 2024 la première édition de son baromètre…
Publiée au JO le 23 avril 2024, la loi 2024-364 vise à transposer un grand nombre de dispositions adoptées…
Près de 600 000 accidents du travail et 789 décès ont été déclarés en 2022 en France. Devant l’importance…