Prudence ! Les cyberattaques de plus en plus fréquentes chez les TPE-PME. C’est l’un des constats d’une enquête de la CPME, publiée vendredi 17 décembre 2021. Ce risque pourrait, dans certains cas, mener jusqu’à l’arrêt total de l’activité.
Le nombre d’attaques informatiques a quadruplé depuis le début de la crise sanitaire. Des opérations invasives qui augmentent de 80% le risque de défaillances des entreprises dans les trois mois qui suivent l’incident.
Depuis le début du confinement, les entreprises, et particulièrement les PME, ont été la cible des hackers. L’agence nationale de la sécurité des systèmes d’information (Anssi) a enregistré depuis mars 2020 une hausse de 400 % de tentatives de phishing.
Le nombre d’attaques de rançongiciels a par ailleurs été multiplié par quatre en un an. 192 attaques ont été répertoriées en 2020 contre 54 sur toute l’année 2019. » Le télétravail, mis en place dans des conditions d’urgence avec un niveau de sécurité pas toujours optimal, a accéléré la menace et augmenté la surface d’attaque des assaillants « , rapporte Jean-Philippe Pagès, directeur de Bessé Industrie & Services.
Ce spécialiste du courtage et du conseil en assurances auprès des entreprises a publié une étude sur l’impact d’une attaque informatique sur la valorisation des entreprises non cotées, PME et ETI. Les données sont éloquentes. Sur l’échantillon des seules entreprises françaises victimes d’une attaque (15 sur les 30 entreprises internationales étudiées), le risque de défaillance augmente en moyenne de 80% dans les trois mois qui suivent l’annonce de l’incident cyber. Chiffre étayé par une dégradation de la valeur patrimoniale de l’ordre de 8 à 10% et une augmentation de 55 % du nombre de jours de retard de paiement six mois après l’attaque. » Le temps de récupération est très élevé. Plus l’entreprise est de petite taille, plus elle est vulnérable car moins équipée en compétences et en moyens cyber sécurité. L’attaque peut alors lui créer des préjudices économiques forts, qui peuvent aller jusqu’à l’arrêt total de l’activité « , ajoute Jean-Philippe Pagès.
Sur le panel étudié, deux entreprises ont dû cesser leurs activités. Selon Justine Gretten, responsable communication de Mailinblack, spécialiste de la protection des messageries professionnelles, » une attaque représente en moyenne, en plus des vols de données et de réputation mise en jeu, 100 000 euros de perte de chiffre d’affaires pour une PME*. Les frais en réparation et de formation des équipes n’étant pas négligeables. «
Empêcher l’accès aux données
Les attaques par e-mail de type phishing ou hameçonnage ont été massives et ont touché beaucoup de PME et d’ETI. Le but du jeu de cette attaque est de dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l’identité d’un tiers de confiance. Conséquences possibles : le piratage de comptes professionnels de messagerie ou d’accès aux systèmes d’information de l’organisation, l’intrusion sur le réseau de l’entreprise ou encore la fraude aux faux ordres de virement.
» Un malfaiteur fait passer pour légitimes des messages frauduleux qui semblent provenir d’une source de confiance. 90% de ces attaques impliquent une erreur humaine. La victime d’une attaque par hameçonnage se fait ainsi piéger lorsqu’elle clique sur l’email et partage des informations personnelles ou professionnelles de manière involontaire. Si l’e-mail est le mode de communication privilégié des hameçonneurs, d’autres techniques peuvent être utilisées comme les applications de messagerie instantanée, les réseaux sociaux, les appels téléphoniques « , explique Justine Gretten, responsable communication chez Mailinblack.
Une autre cyberattaque a littéralement explosé pendant les deux premiers mois de confinement : il s’agit du ransomware. Cette attaque consiste à chiffrer et empêcher l’accès aux données de l’entreprise et à généralement réclamer une rançon pour les libérer. Ce type d’attaque s’accompagne de plus en plus souvent d’un vol de données et d’une destruction préalable des sauvegardes.
Ces attaques sont généralement rendues possibles par une intrusion sur le réseau de l’entreprise, soit par ses accès à distance, soit par la compromission de l’équipement d’un collaborateur. » Si un hacker pénètre dans le système d’information, l’ensemble du fonctionnement d’une entreprise peut être arrêté, y compris le fonctionnement des ordinateurs et des lignes téléphoniques. Les conséquences peuvent être dramatiques. Un hôpital en Allemagne, et d’autres plus récemment à Dax dans les Landes et à Villefranche-sur-Saône dans le Rhône, ont été la cible d’un ransomware. Il n’y avait plus de communication possible et une perte des données, ce qui a entraîné dans certains cas le décès de patients… « , rappelle Justine Gretten.
Mener des exercices de gestion de crise
Les pratiques étant de plus en plus inventives, la gestion de la crise cyber et la prévention semblent essentiels. » Il faut définir une gouvernance du risque de façon transverse, impliquer l’ensemble des fonctions clés de l’entreprise et alerter les salariés sur le risque. Les attaques sont devenues si fréquentes que la question pour les dirigeants n’est plus de se demander si leur entreprise peut être victime d’une crise cyber mais plutôt de se préparer à y répondre lorsqu’elle surviendra « , estime Jean-Philippe Pagès.
Les entreprises doivent par ailleurs déployer des actions simples comme la mise au point de systèmes de sauvegarde de données fréquentes et périodiques, ou une politique de mot de passe efficace avec des changements réguliers.
Une autre technique peut également reposer sur du test and learn. L’employeur réalise une fausse campagne de phishing pour mettre en situation les salariés. Ils sont ainsi sensibilisés sur les bons réflexes à adopter, et l’importance de vérifier l’adresse de l’expéditeur ou la présence de fautes d’orthographe dans les mails. Un apprentissage régulier permettant aux collaborateurs de mieux reconnaître les tentatives d’usurpation d’identité.
* étude sur la vulnérabilité des entreprises face aux cyberattaques menée par Mailinblack du 10 novembre au 31 décembre 2020 auprès de 700 dirigeants
En chiffres
12 %
12% des entreprises de plus de 100 salariés ont connu des attaques par rançongiciel, le vecteur d’attaque le plus préoccupant, avec pour 38 % d’entre elles un impact fort, selon l’enquête 2020 Clusif sur les menaces informatiques et les pratiques de sécurité.
80 %
80% des PME et ETI françaises n’ont pas de plan de réponse aux incidents robustes, selon l’étude menée en 2020 par Ponemon Institute et IBM. Il n’est soit pas assez complet (24 %), soit pas assez formalisé (31 %), soit inexistant (25 %).
1 milliard
Le gouvernement a annoncé le 18 février 2020 un plan de soutien d’1 milliard d’euros d’ici à 2025 pour renforcer la protection des administrations, des entreprises et faire émerger les champions français de la cybersécurité.
39%
Plus d’un tiers des ETI sondées par le cabinet de conseil Bessé – PwC en mars 2018 avaient mis en place une organisation transversale associant les fonctions finance, juridique, RH, opérationnelles, SI et RSSI pour piloter le risque cyber.
Source: Article paru le 2 Mars 2021 BeaBoss
