Pourquoi les PME restent une cible idéale pour les cyberattaquants ?
Le nombre de cyberattaques a explosé avec la pandémie de Covid-19. Si le milieu pharmaceutique et les hôpitaux sont de plus en plus exposés, les PME restent une cible privilégiée pour les cyberattaquants.
Selon une récente étude menée par l’Ifop pour XEFI, réalisée auprès de 400 dirigeants de TPE – PME en novembre 2021, 95 % des sondés « ont l’impression de bien savoir ce qu’est la cybersécurité ».
Mieux encore, 80 % d’entre eux estiment que leur entreprise est bien protégée face aux risques cyber. Ils sont encore 75 % à affirmer que le risque de voir leur entreprise touchée par une cyberattaque est faible… Alors que parmi les 25 % restant, près de la moitié a déjà été victime d’une cyberattaque.
Si l’on en croit ces données, les TPE et PME seraient ainsi très largement compétentes en matière de cybersécurité. Elles restent pourtant une cible privilégiée des cyberattaquants… bien que les grands groupes soient très souvent mis en avant lorsqu’ils sont touchés.
« 90 % des poissons du filet sont des PME, mais on ne parle que des gros groupes » résumait ainsi un intervenant le 9 décembre 2021 lors d’une visio-conférence organisée par l’agence Cymbioz autour du rapport des PME à la cybersécurité.
Des cyberattaquants en avance sur les PME
La fragilité des PME face aux cyberattaques était le thème principal de ce rendez-vous. Si les intervenants ont dans l’ensemble reconnu que les messages de prévention sont de plus en plus compris au sein des entreprises, ces dernières restent pourtant une proie toute désignée.
Car un écart existe encore entre la compréhension de la menace et la mise en application des moyens de défense. « En trois ans, les TPE – PME n’ont pas beaucoup avancé contrairement aux attaquants » confiait ainsi Pascal Le Digol, directeur France chez WatchGuard (fournisseur de solutions de cybersécurité dédiées au télétravail).
Le darkweb comme porte d’entrée
Du côté des attaquants, la machine s’est tout simplement industrialisée ces dernières années. « Il y a des parts de marché à prendre » dans cet écosystème en plein essor constate l’intéressé. Le darkweb constitue notamment une porte d’entrée pour ce business illégal. « C’est ultra-professionnel. Les attaquants se voient comme des businessmans, renchérit un autre intervenant. Pour 1 500 dollars, vous pouvez acheter des codes VPN. Pour 3 500 dollars, vous avez des codes administrateurs ».
Le gouffre entre attaquants et PME est d’autant plus mesurable : si d’un côté les codes VPN se revendent au marché noir, de l’autre le récent sondage Ifop pour XEFI précise que seuls 50 % des sondés ont recours à un VPN comme solution de protection… Lorsque l’autre moitié se contente encore de pare-feu et d’antivirus.
Et Joël Mollo, le vice-président de Cybereason France (plateforme de cybersécurité), de conclure sur le darkweb : « La sophistication est énorme. On peut même acheter le ”Meilleur ransomware de l’année” ».
La faille des réseaux sociaux
Mis à part le darkweb, l’autre principale avancée de ces dernières années vient des réseaux sociaux. « Les attaquants regardent les liens entre les personnes sur les réseaux sociaux pour inciter leurs cibles à cliquer (sur les mails frauduleux) », précise Joël Mollo. Les multiples fuites de données sur Facebook au cours des derniers mois n’aura sans doute pas été de trop pour les cyberattaquants.
« Il faut deux choses pour qu’une attaque fonctionne : un sentiment d’urgence et un contexte crédible » confie de son côté Adrien Gendre, directeur associé de Vade Secure (autre fournisseur de solution de cybersécurité). Et lorsque ce sentiment d’urgence provient d’une personne identifiée comme suffisamment digne de confiance pour figurer dans ses contacts LinkedIN ou Facebook, le taux de méfiance est forcément au plus bas au moment d’ouvrir le message frauduleux.
Budget et assurance ne suffisent pas
Investir sur les moyens techniques et humains est inéluctablement la première étape en termes de cybersécurité. Encore faut-il le faire à bon escient. « Il faut le budget, reconnaît Pascal Le Digol. Mais même avec les meilleurs outils du monde, si vous ne les configurez pas correctement, ce sera une passoire ».
S’agissant des cyberassurances, ce dernier craint que certaines entreprises en aient une mauvaise utilité. Autrement dit, que l’assurance soit leur premier et unique moyen d’action au lieu d’être une garantie venant compléter un arsenal dédié à la cybersécurité. « L’assurance donne l’impression que quoi que vous fassiez, elle s’occupe de tout » énonce-t-il ainsi.
Reste désormais à savoir si le travail de sensibilisation, couplé à d’autres outils d’application, permettra aux PME de rattraper leur retard sur les cyberattaquants dans un avenir proche. Selon le sondage Ifop pour XEFI, 80 % des PME représentées ont d’ores et déjà mis en place un programme de sensibilisation auprès de leurs salariés. « Les risques cyber sont comme les gestes barrières avec le Covid, il faut les rabâcher » conclut Joël Mollo.
Eitel Mabouong – Journaliste
Les plus lus…
Alors que les opérateurs télécoms ont annoncé la fermeture des réseaux 2G et 3G dès la fin 2025, le…
Que prévoit la réglementation en termes de levée de doute sur un site recevant des travailleurs ? …
La réglementation du code du travail impose-t-elle la mise en place d’un panneau de signalisation pour indiquer le point…
Le Bureau d'enquêtes sur les accidents de transport terrestre (BEA-TT) a rendu son rapport, le mercredi 30 octobre 2024,…
À l’occasion de son 8e baromètre de la gestion des risques des PME et ETI françaises, QBE a interrogé…
La 130e édition du Congrès national des Sapeurs-pompiers de France a été l’occasion de présenter quelques nouveautés technologiques. Siemens…