La cybersécurité des PME en 5 statistiques
Avec l’apparition de la Covid-19 et l’adoption massive du télétravail, les PME sont devenues une cible de choix pour les cybercriminels.
Sous équipées pour faire face aux campagnes de phishing (hameçonnage), spear phishing et autres ransomware et malware, de nombreuses entreprises se sont retrouvées victimes d’une demande de rançon.
Avec les sauvegardes, serveurs et postes de travail cryptés, ces sociétés se retrouvaient alors à l’arrêt sans autre alternative que de verser une rançon demandée par les pirates informatiques sans aucune garantie de retour à la normal….
Dans le but de revenir sur ces faits marquants, revoyons ensemble cinq statistiques de la cybersécurité des PME en 2020.
I – 4 fois plus de cyberattaques
Depuis le début de la pandémie, le volume de signalement d’entreprises victimes de pirates auprès de la plateforme cybermalveillance.gouv.fr a été multiplié par quatre en 2020 1.
Cette augmentation s’explique au travers de différents facteurs : Une adoption forcée du télétravail dans des organisations qui n’étaient pas prêtes.
L’application du confinement stricte a obligé les entreprises à faire évoluer leurs manières de travailler en obligeant les salariés à faire du télétravail.
Ces sociétés pour la plupart n’avaient pas d’ordinateurs pour l’ensemble des collaborateurs et aucun processus de sécurité (pare-feu, VPN, gestionnaire de mots de passe) à disposition des salariés en dehors de l’entreprise.
Ainsi, ces derniers se sont retrouvés à utiliser leur machine personnelle dans un contexte professionnel. Le plus souvent sans antivirus ni EDR installés sur la machine ou de système d’exploitation à jour, ces machines ont considérablement augmenté les risques de piratages.
Dans le pire des cas, la machine utilisée était déjà infectée.
Un manque de sensibilisation à la cybersécurité.
Laissés à eux même, les salariés n’ayant pas suivi de formation ou sensibilisation à la cybersécurité étaient vulnérables à la moindre attaque.
Et pour cause, dans un contexte particulier et inédit, de nombreuses arnaques communément appelées “fraude aux présidents” ont fait leur apparition.
Appelée également FOVI pour Faux Ordre de Virement International, cette technique utilise l’usurpation d’identité d’un dirigeant dans le but d’extorquer des fonds ou de dérober des données confidentielles et sensibles à la société victime.
Non présent dans les locaux de l’entreprise, le comptable reçoit alors une demande urgente de virement de ce soi-disant dirigeant avec pour obligation d’effectuer un transfert de fonds dans les plus brefs délais. De nombreuses entreprises se sont retrouvées à effectuer des virements bancaires de sommes importantes à de faux prestataires.
C’est le cas notamment d’une société pharmaceutique de la région de Rouen qui a été escroquée à hauteur de 6,6 millions d’euros.
II – 667 % d’attaques par phishing en seulement un trimestre
Le phishing, appelé également hameçonnage et sa variante sophistiquée spear-phishing, est l’une des techniques les plus utilisées sur internet pour voler des données (coordonnées bancaires, identifiants de connexion…).
Dans 96 % des cas, la victime reçoit un email malveillant 2. Dans les autres cas, il peut s’agir d’un envoi de SMS, d’un appel téléphonique, d’un message sur les réseaux sociaux…
En 2020, Barracuda Networks indiquait une augmentation de 667 % d’attaques par phishing enregistrée entre le 1er et le 23 mars 3. Cette statistique démontre l’agilité des groupes de hackers à lancer une campagne de piratage massif.
En se basant sur les millions de comptes et données personnelles ayant fuité des réseaux sociaux (parmi lesquels Facebook et LinkedIn), les groupes d’attaquants ont envoyé des milliards de mails malveillants à destination des victimes.
Donc, quelle que soit sa taille, chaque entreprise est concernée par ce type de cyber attaque.
Il est bon de rappeler que depuis l’entré en vigueur du RGPD, toute fuite de données doit être déclarée dans les 48 h auprès de la CNIL. Toute fuite peut mener à des sanctions financières en cas de manquements à l’obligation de sécuriser l’accès et le stockage des données clients.
III – 192 attaques par ransomware ont ciblé les entreprises et collectivités Françaises
Alors que le phishing est plus discret, la demande de rançon (ou ransomware) paralyse et stoppe l’activité de l’entreprise attaquée en chiffrant toutes ses données informatiques.
La promesse est simple : pour récupérer les données, l’entreprise doit payer une rançon. En 2020, 192 entreprises, collectivités locales et hôpitaux français ont été victimes de ces campagnes de ransomware 4.
En 2021, une explosion des cyber attaques par ransomware a été observée. Selon les analystes de SEKOIA, 2 360 attaques ont été rendues publiques à travers le monde.
Malgré une gestion des risques et l’utilisation de solutions de sécurité informatique, il reste difficile d’anticiper les menaces.
IV – 43 % des PME ont constaté un incident de cybersécurité
Selon les chiffres donnés par le Sénat, 43 % des PME ont constaté des problèmes de cyber sécurité pendant l’année 2020 5.
Une croissance considérable qui est en partie expliquée par la crise sanitaire qui a mis plus de 8 millions d’employés en télétravail. Les entreprises qui n’étaient pas toutes préparées à opérer à distance et qui n’avaient pas nécessairement sauvegardé leurs procédures ont dû dans l’urgence s’adapter, créant ainsi des failles de sécurité.
Ces cyberattaques, quant à elles, représentent d’énormes menaces non seulement pour la viabilité à long terme de leur entreprise, mais aussi pour leurs fournisseurs, leurs sous-traitants et leurs clients, par réaction en chaîne.
Pour renforcer la sécurité de l’ensemble de la chaîne de valeur, chacun doit fortifier ses pratiques de sécurité.
V – 16 % des cyberattaques menacent la survie des entreprises.
Une entreprise sur six ayant été la cible d’une cyberattaque estime que cet événement a mis sa pérennité en danger.
C’est en tout cas ce que suggère la nouvelle étude sur la gestion des cyber-risques de l’assureur Hiscox.
Selon son rapport, 18 % des entreprises françaises ayant subi une cyberattaque affirment que leur solvabilité ou leur existence a été mise en danger à la suite de l’événement 6.
Plus d’un quart des organisations visées, soit 27 %, ont connu au moins 10 cyberincidents.
L’assureur Hiscox estime que, si les attaques par ransomware ont fait l’objet d’une grande attention ces derniers mois, notamment dans les médias, elles ne constituent pas le type d’attaque le plus courant. Trois entreprises ciblées sur dix, soit 36 %, ont dû faire face à une infection par virus, tandis que 31 % ont été victime d’un piratage de leur messagerie électronique.
En tant que PME, comment évaluer la sécurité de son système d’information ?
L’étape initiale consiste à faire l’inventaire de l’ensemble des données, notamment leur localisation précise et leur mode d’hébergement (serveur d’entreprise, data-center…). Une fois cet inventaire réalisé, les données informatiques doivent être classées et scorées selon leur degré de sensibilité sur une échelle de 1 à 5, 1 étant « négligeable » et 5 « désastreux ». Les données obtenant une note de 4 ou 5 doivent être traitées selon une politique de sécurité plus drastique (contrôle d’accès, hébergement sécurisé, sauvegardes redondantes…).
Les entreprises vulnérables aux cyberattaques doivent mettre en place un plan de reprise d’activité, ou PRA, qui sera appliqué en cas d’incident. Son objectif principal est de faciliter la restauration des données en cas de vol, de compromission, de virus ou de tout autre événement mettant en danger les systèmes et réseaux de l’entreprise, et ainsi de permettre la reprise et la continuité de l’activité.
La seconde étape importante dans l’évaluation de la sécurité informatique d’une entreprise consiste à réaliser un inventaire détaillé du matériel présent sur le réseau informatique. L’utilisation omniprésente des appareils mobiles a augmenté les possibilités d’infiltration des programmes malveillants. Par conséquent, tous les appareils qui composent votre infrastructure informatique, telle que les ordinateurs, les tablettes et les smartphones, doivent être protégés eux aussi.
Ces statistiques vous le dises : Ne soyez plus aveugle, auditez votre sécurité informatique !
Réaliser un audit de votre système informatique par des spécialistes est une approche intelligente pour évaluer la sécurité informatique de votre entreprise.
L’audit est nécessaire afin de déterminer l’état actuel de l’existant et d’identifier ses forces et ses failles.
Dans l’objectif d’améliorer la sécurité, un inventaire détaillé du matériel et des logiciels doit être réalisé afin d’identifier les problèmes de sécurité les plus importants et de mettre en place les moyens nécessaires pour protéger votre entreprise du mieux possible.
Ce type d’audit de sécurité vous permet de mettre en place des procédures d’urgence appropriées afin de réduire l’impact d’un événement sur votre système informatique.
Si vous êtes accompagné d’un professionnel de la sécurité informatique, vous pouvez préciser les activités et les outils dont vous aurez besoin pour répondre avec succès à un événement hypothétique.
L’audit peut être complété par l’installation d’un logiciel de surveillance (monitoring), dans le but de vous permettre de suivre en permanence les activités de votre système informatique et, par conséquent, de remarquer les incidents ou les dysfonctionnements le plus rapidement possible.
En diminuant le temps d’intervention, vous passez d’un mode correctif à un mode préventif et augmentez considérablement la disponibilité de votre parc informatique tout en réduisant le taux de panne.
Test d’intrusion pour simuler une cyberattaque et le vol de données sensibles
Le test d’intrusion est un stress-test de votre infrastructure informatique dans le but de mesurer la sécurité informatique de votre entreprise.
Il s’agit d’évaluer et de classer toutes les vulnérabilités en fonction de leur probabilité, ainsi que d’établir un plan d’action pour sécuriser vos données de manière appropriée.
Ensuite, vous devez sensibiliser vos collaborateurs aux différents risques et leur faire part des processus mis en place, car oui, il est d’une importance primordiale de sensibiliser l’ensemble de votre personnel aux risques liés à la sécurité informatique.
Un utilisateur bien informé, c’est le point de départ d’un système informatique sécurisé.
Chaque membre de votre équipe doit savoir identifier et prévenir les activités dangereuses en cas de dysfonctionnement, suspicion d’e-mail frauduleux (phishing) ou de poste de travail compromis.