Cybersécurité des PME et TPE : impacts économiques et stratégiques

Les très petites, petites et moyennes entreprises (TPE et PME) sont aujourd'hui les cibles privilégiées des cyberattaques, mettant en péril leur pérennité et la sécurité de leurs données.

En avril 2024, la PME Le Slip Français a été victime d'une cyberattaque ayant entraîné la compromission de données personnelles de nombreux clients. Bien que les mots de passe et les informations de paiement ne semblent pas avoir été compromis, l'incident soulève d'importantes questions sur la sécurité des données personnelles et porte atteinte à la confiance que les clients accordent à l'entreprise. En effet, Le Slip Français a communiqué qu’un “listing partiel des données des comptes clients avait été volé et divulgué sur le dark web”. On ne sait pas à combien s’élève cet incident pour la PME mais son cas est loin d’être isolé.

Ces structures manquent souvent des ressources et des compétences nécessaires pour faire face à cette menace croissante.

Dans ce contexte, comment renforcer efficacement la cybersécurité des TPE et PME françaises ? Quels sont les enjeux, les solutions et les dispositifs d'accompagnement existants pour protéger ce tissu économique essentiel de notre économie ? Notre guide dédié à la cybersécurité de votre TPE - PME a vocation à répondre à toutes les questions que vous vous posez pour assurer la pérennité de vos données, et donc de votre entreprise.

Ces chiffres sur les attaques qui en disent long sur les risques

D'après le Baromètre Cyber 2024 de Mailinblack, 7,6% des spams reçus en 2023 contenaient des virus informatiques, un chiffre en hausse par rapport à 2022.

Plus inquiétant encore, 80% des entreprises ont déclaré avoir été victimes d'au moins une cyberattaque en 2023 selon une étude récente de Fortinet.

Les conséquences peuvent être dévastatrices pour les petites structures : d'après France.Gouv, le risque de défaillance d'une entreprise augmente d'environ 50% dans les 6 mois suivant l'annonce d'un incident cyber.

Rappel des types d'attaques les plus fréquents

• Les rançongiciels restent la menace n°1 pour les TPE/PME. Ces logiciels malveillants chiffrent les données de l'entreprise et exigent une rançon pour les débloquer. En 2023, 58% des victimes de rançongiciels étaient des TPE/PME selon l'ANSSI.
• Le phishing (ou hameçonnage) arrive en deuxième position. Toujours selon Mailinblack, il représente 77,5% des attaques déjouées. Les cybercriminels exploitent les biais cognitifs des employés en se faisant passer pour des tiers de confiance (fournisseurs, banques, etc.).
• Enfin, les attaques par déni de service distribué (DDoS) sont elles aussi en augmentation. Elles visent à rendre indisponibles les services en ligne de l'entreprise en les submergeant de requêtes.

Face à ces menaces croissantes, la sensibilisation et la formation des employés, ainsi que la mise en place de solutions de sécurité adaptées, deviennent cruciales pour les TPE/PME.

Pourquoi les TPE et PME sont-elles si vulnérables aux cyberattaques ?

Vous l’avez compris donc, les très petites, petites et moyennes entreprises (TPE - PME) sont particulièrement exposées aux cybermenaces, et ce, pour plusieurs raisons structurelles. Leur vulnérabilité s'explique principalement par trois raisons majeures : un manque de moyens, une trop faible sensibilisation aux enjeux de cybersécurité, et des systèmes d'information souvent inadaptés face aux menaces actuelles.

Le manque de ressources financières et humaines expose votre TPE PME

Les TPE - PME disposent généralement de budgets limités, ce qui les empêche d'investir suffisamment dans leur cybersécurité. Contrairement aux grandes entreprises, elles n'ont pas les moyens de se doter d'équipes entièrement dédiées à la sécurité informatique ou de faire appel à des prestataires spécialisés.

Selon une étude du cabinet Asterès publiée en 2022, plus de 60% des PME n'ont aucun référent dédié à la cybersécurité. Cette absence de personnel qualifié les rend particulièrement vulnérables face à des attaques de plus en plus sophistiquées. De plus, seules 25% des PME ont contracté une assurance spécifique pour se prémunir contre les risques cyber, ce qui peut s'avérer dramatique en cas d'attaque réussie.

Le manque de ressources financières se traduit également par un sous-investissement dans les solutions de sécurité. Les TPE - PME se contentent souvent d'outils de base (antivirus, pare-feu) qui ne suffisent plus à contrer seuls les menaces actuelles, laissant de nombreuses failles exploitables par les cybercriminels.

Un faible niveau de sensibilisation et de formation aussi

La méconnaissance des enjeux de cybersécurité est un facteur majeur de vulnérabilité pour les TPE - PME. Les dirigeants et les employés sont souvent peu conscients des risques encourus et des bonnes pratiques à adopter.

Et comme le souligne le Panorama de la cybermenace de l'ANSSI, le faible niveau de connaissance des salariés en matière de cybersécurité facilite grandement les attaques. Le manque de formation se traduit par des comportements à risque : utilisation de mots de passe faibles, ouverture de pièces jointes suspectes, navigation sur des sites non sécurisés, etc. Ces pratiques ouvrent la voie aux cybercriminels qui exploitent les failles humaines pour s'introduire dans les systèmes d'information.

Ainsi, les employés constituent pourtant la première ligne de défense contre les cybermenaces, notamment face aux attaques par phishing par exemple.

Des systèmes d'information souvent obsolètes ou mal sécurisés

Les TPE - PME utilisent fréquemment des systèmes d'information vieillissants ou mal configurés, ce qui les rend particulièrement vulnérables aux cyberattaques.

Une enquête récente commanditée par Intel auprès de petites entreprises a révélé que 34% des attaques de programmes malveillants signalées ont visé des PC de plus de 5 ans, contre seulement 6% pour les appareils de moins d'un an. L'utilisation de matériel et de logiciels obsolètes, qui ne bénéficient plus des dernières mises à jour de sécurité, expose les entreprises à de nombreuses failles exploitables par les pirates.

Par ailleurs, la configuration des systèmes d'information est souvent négligée dans les petites structures. L'ANSSI souligne que les attaquants ciblent de plus en plus les équipements périphériques tels que les pare-feux ou les routeurs, souvent mal paramétrés, pour 'obtenir des accès discrets et pérennes aux réseaux de leurs victimes'.

Le recours croissant au Cloud et à la mobilité, sans mise en place de mesures de sécurité adaptées, aggrave encore la situation. Les données sensibles se retrouvent exposées sur des serveurs mal protégés ou des appareils personnels non sécurisés, élargissant considérablement la surface d'attaque.

Pour renforcer leur résilience face aux cybermenaces, les TPE - PME doivent impérativement prendre conscience des risques et mettre en place une stratégie de cybersécurité adaptée à leurs moyens et à leurs besoins.

Quand les risques sont aussi juridiques et portent atteinte à la réputation

La fuites de données personnelles

Les cyberattaques exposent également les TPE/PME à des risques juridiques importants, notamment en cas de fuite de données personnelles.

Le non-respect des réglementations en vigueur, comme le Règlement Général sur la Protection des Données (RGPD), peut entraîner de lourdes sanctions.

Pour une petite structure, de telles pénalités peuvent être insurmontables. Ceci est sans compter que les entreprises victimes s'exposent aussi à des poursuites de la part de leurs clients ou partenaires dont les données ont été compromises.

L’atteinte à la réputation de l’entreprise

Autre conséquence majeure, directement commerciale cette fois et souvent sous-estimée, la perte de confiance des clients, fournisseurs et partenaires suite à une cyberattaque peut avoir des effets durables sur l'activité de l'entreprise.

Pour une TPE/PME dont la clientèle est souvent locale et fidélisée, cette perte de confiance peut être particulièrement dommageable.

La menace pèse sur la pérennité de l'entreprise

Dans les cas les plus graves, une cyberattaque peut mettre en péril l'existence même de l'entreprise.

Plusieurs facteurs contribuent à ce risque :

• Fragilité financière : Les TPE/PME disposent généralement de réserves financières limitées. Les coûts liés à une cyberattaque peuvent rapidement épuiser ces ressources et conduire à une cessation de paiement.
• Perte de données critiques : La destruction ou le vol de données essentielles (fichiers clients, comptabilité, propriété intellectuelle) peut compromettre durablement la capacité de l'entreprise à fonctionner.
• Effets en cascade : Une cyberattaque peut déclencher une série d'autres événements négatifs (perte de clients, difficultés de trésorerie, problèmes juridiques) qui s'amplifient mutuellement.

Pour les TPE/PME, déjà fragilisées par le contexte économique actuel, une cyberattaque peut donc représenter le coup de grâce.

Face à la recrudescence des cybermenaces, les TPE/PME doivent impérativement renforcer leur sécurité numérique. Voici les mesures techniques essentielles à mettre en place pour se protéger efficacement.

Ces mesures techniques essentielles de cybersécurité

Un réseau et des accès sécurisés

La première étape pour se protéger contre une cyberattaque consiste à sécuriser le réseau et les accès de votre entreprise. Cela passe par les actions clés suivantes :

• Mettre en place un pare-feu (firewall) robuste, première ligne de défense contre les intrusions. Des solutions comme le FortiGate de Fortinet ou le Cisco ASA sont particulièrement adaptées aux PME.
• Utiliser un VPN pour les connexions à distance afin de sécuriser les accès (fondamental avec l'essor du télétravail). Des outils comme NordVPN Teams ou Perimeter 81 offrent des solutions VPN spécifiquement conçues pour les petites entreprises. SFR Business vous permet d’opter pour une solution MPLS Ipnet pour interconnecter tous vos services.
• Gérer vos mots de passe avec rigueur en utilisant un gestionnaire de mots de passe comme LastPass ou 1Password. Ces outils permettent de générer et stocker des mots de passe complexes et uniques pour chaque compte.
• Installer l'authentification multifactorielle (MFA) pour ajouter une couche de sécurité supplémentaire à la simple utilisation d'un mot de passe, ce qui est devenu indispensable. Des solutions comme Microsoft Authenticator ou Google Authenticator sont gratuites et faciles à mettre en place.

Des données cryptées et sauvegardées

La sauvegarde régulière des données figure au rang des gestes sécurisants incontournables pour les PME. En cas d'attaque par ransomware, c'est souvent le seul moyen de récupérer ses données sans payer de rançon.

Voici quelques pratiques habituellement recommandées pour sauvegarder vos données :

• Appliquez la règle du 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site.
• Automatisez les sauvegardes avec des outils comme celui que SFR Business vous propose avec sa solution Cloud.
• Testez régulièrement la restauration de vos données pour s'assurer de leur intégrité.

Le chiffrement des données sensibles est également essentiel. Des solutions comme Symantec Endpoint Encryption permettent de chiffrer facilement les disques durs et les fichiers importants.

Quels outils de cybersécurité semblent essentiels pour une PME ?

Renforcer la cybersécurité d'une TPE ou PME nécessite une approche globale combinant mesures techniques, formation des employés et adoption de bonnes pratiques. Bien que cela puisse sembler complexe et coûteux, c'est un investissement nécessaire face à l'ampleur des risques.

C’est pourquoi ces outils complémentaires paraissent indispensables :

• Antivirus/Antimalware : Des solutions comme Bitdefender GravityZone Business Security ou ESET Protect Advanced offrent une protection complète contre les menaces.
• Filtrage des emails : Pour lutter contre le phishing, principal vecteur d'attaque, des outils comme Proofpoint Essentials ou Mimecast sont très efficaces.
• Surveillance du réseau : Des solutions comme Darktrace ou Rapid7 InsightIDR permettent de détecter rapidement les comportements suspects sur le réseau.

Organisez des simulations d'attaques

Organiser régulièrement des simulations d'attaques, notamment de phishing, permet aux employés de mettre en pratique leurs connaissances. Des outils comme Gophish (open-source) ou Sophos Phish Threat permettent de créer ces simulations et de suivre les progrès des employés.

Créez une culture de cybersécurité

Cela consiste à la fois à impliquer la direction dans la promotion de la sécurité, encourager les employés à signaler les incidents suspects et récompenser toutes les bonnes pratiques en matière de sécurité. Et ce n’est pas simple !

Les meilleures pratiques de cybersécurité que le personnel doit suivre :

• Utilisation de mots de passe forts et uniques pour chaque compte
• Vigilance face aux emails suspects, ne pas cliquer sur des liens douteux
• Mises à jour régulières des logiciels et systèmes d'exploitation
• Utilisation exclusive de supports USB réputés fiables
• Signalement immédiat de tout élément de sécurité suspect

Mettez en place des politiques claires

Élaborer et communiquer des politiques de sécurité claires est essentiel. Celles-ci doivent couvrir :

• L'utilisation acceptable des ressources informatiques de l'entreprise
• La gestion des mots de passe
• Les procédures à suivre en cas d'incident de sécurité
• Les règles concernant l'utilisation des appareils personnels (BYOD)

Envisagez des formations spécifiques pour les rôles clés

Certaines fonctions, comme les administrateurs Systèmes ou les responsables Sécurité, nécessitent des formations plus poussées. Des certifications comme CompTIA Security+ ou CISSP peuvent être envisagées pour ces rôles critiques.

Les meilleures pratiques pour sensibiliser efficacement ses employés aux cybermenaces

• Utilisez des exemples concrets et des cas réels d'attaques
• Organisez des sessions de formation interactives et ludiques
• Envoyez régulièrement des rappels et des mises à jour sur les nouvelles menaces
• Intégrez la cybersécurité dans le processus d'accueil de vos nouveaux employés
• Encouragez un dialogue ouvert sur la sécurité au sein de votre entreprise

Sensibilisez continuellement à la cybersécurité

La sensibilisation ne doit pas se limiter à des formations ponctuelles. Des actions régulières sont nécessaires comme :

• Des mailings sur la cybersécurité de l’entreprise à tous les employés
• L’affichage de rappels visuels dans les espaces de travail
• L’organisation de "pauses sécurité" mensuelles pour discuter des dernières menaces

Rédigez une charte et des procédures internes

Posez-vous pour établir une charte avec des procédures internes types pour synthétiser toutes les bonnes pratiques à appliquer.
Ces documents écrits doivent répondre à 4 grandes orientations :

• Définir clairement les responsabilités de chaque employé en matière de sécurité
• Établir des protocoles précis pour la gestion des incidents de sécurité
• Fixer des règles d'utilisation des ressources informatiques de l'entreprise
• Être régulièrement révisés et communiqués à l'ensemble du personnel

Dans le contexte actuel où les menaces se multiplient, ces efforts de formation peuvent faire la différence entre une entreprise résiliente et une entreprise vulnérable aux cyberattaques.

Comment élaborer un plan de réponse aux incidents ?

Pour réagir efficacement en cas d'attaque, construisez un plan de réponse aux incidents (PRI) détaillé incluant :

• la désignation d’une équipe de réponse aux incidents indiquant clairement les rôles et responsabilités de chacun
• des procédures détaillées selon différents scénarios d'attaque (ransomware, fuite de données, etc.)
• une liste de contacts d'urgence (autorités, prestataires IT, assureurs, etc.)
• des directives de communication de crise (interne et externe).

Testez et actualisez régulièrement !

Afin de compléter la mise en place d'un PCA et d'un PRI (pas suffisants), il faut ensuite les tester et les mettre à jour régulièrement.

D’abord, on organise des exercices réguliers (au moins une fois par an) pour tester l'efficacité du plan et la réactivité des équipes. Ensuite, après chaque incident, même mineur, on analyse la réponse et on ajuste les plans si nécessaire. Enfin, on suit l'évolution des menaces et des bonnes pratiques pour adapter continuellement les plans.

Par exemple, un outil comme Cyberrange, développé par Airbus CyberSecurity, permet de simuler des attaques dans un environnement contrôlé pour tester et améliorer les procédures de réponse. Mais d’autres solutions existent, comme en témoigne cette vidéo de Room 42 d’un exercice de simulation de cyberattaque calqué sur ceux de l’armée.

Quels sont les principaux dispositifs publics de soutien ?

Face à l'augmentation des cybermenaces visant les TPE et PME, les pouvoirs publics accompagnent ces entreprise dans le renforcement de leur cybersécurité. Ces initiatives visent à leur fournir des ressources, des financements et un cadre réglementaire adapté aux enjeux actuels.

Le rôle de l'ANSSI et ses recommandations

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) joue un rôle central dans la stratégie nationale de cybersécurité, y compris pour les TPE/PME, et ce, grâce à :

• La publication de guides et recommandations gratuites, comme le "Guide d'hygiène informatique" ou le "Kit de sensibilisation à la cybersécurité”, spécifiquement conçus pour les petites structures.
• Des certifications de sécurité concernant des produits et services de cybersécurité, ce qui aide les TPE/PME à choisir des solutions fiables.
• Des alertes et veille sur les menaces : Via son centre opérationnel de la sécurité des systèmes d'information (le CERT-FR), l'ANSSI diffuse des alertes sur les nouvelles menaces et vulnérabilités.
• Formation et sensibilisation : Le centre de formation de l’ANSSI (le CFSSI) propose divers modules de formation ainsi qu’un MOOC gratuits sur la cybersécurité, accessibles aux dirigeants et employés des TPE/PME.

Qui peut vous apporter aides financières et programmes d'accompagnement ?

Plusieurs initiatives publiques soutiennent financièrement et techniquement les TPE/PME dans leur démarche de cybersécurité :

• France Num : Cette initiative gouvernementale propose des diagnostics numériques gratuits et des chèques numériques pour financer des prestations de cybersécurité.
• Bpifrance : La banque publique d'investissement propose des prêts numériques incluant un volet cybersécurité, ainsi que des formations et diagnostics.
• Programme "Cyber PME" : Lancé en 2023, ce dispositif de la BPI offre un accompagnement personnalisé aux PME et ETI pour renforcer leur cybersécurité.
• Aides régionales : Certaines régions, comme l'Île-de-France avec son dispositif "Chèques cyber", proposent des subventions spécifiques pour la cybersécurité des TPE/PME.
• CyberMalveillance.gouv.fr : Cette plateforme gouvernementale déploie des ressources gratuites et met en relation les victimes avec des prestataires de proximité.

La réglementation et les normes applicables vous guident

Le cadre réglementaire de la cybersécurité des entreprises évolue pour mieux les protéger ainsi que leurs données :

Le secteur privé aussi propose des offres adaptées aux TPE/PME

Face à la demande croissante et aux besoins spécifiques des TPE et PME en matière de cybersécurité, le secteur privé a développé une gamme de solutions et de services pour rendre la sécurité informatique plus accessible et efficace. Notamment pour ces petites structures qui sont souvent limitées en ressources et en expertise.

Des solutions de sécurité packagées et accessibles

Les éditeurs de logiciels et les fournisseurs de solutions de sécurité ont conçu des offres "tout-en-un" spécifiquement pour les TPE/PME comme :

Les suites de sécurité intégrées

Des entreprises comme Bitdefender, ESET ou Kaspersky proposent des solutions complètes incluant antivirus, pare-feu, protection contre les ransomwares et sauvegardes, le tout dans une interface unique et facile à gérer.

Les solutions de protection des terminaux mobiles

L’utilisation des terminaux mobiles ou d’appareils (endpoints) personnels ouvre des portes pour les attaquants , qui ciblent les données d’entreprise via les équipements mobiles et postes de travail non protégés des collaborateurs de l’entreprise.Les terminaux mobiles sous Android et iOS doivent être protégés contre ces nouvelles cybermenaces mobiles et fraudes en lignes, grâce à une protection puissante et efficace d'anti-phising, d'antimalwares et d'antivol.

Les solutions Cloud

Les offres basées sur le Cloud intègrent désormais des fonctionnalités de sécurité avancées, permettant aux PME de bénéficier d'une protection de niveau entreprise sans infrastructure complexe.

Les outils de chiffrement simplifiés

Des solutions comme VeraCrypt (gratuit) ou Symantec Endpoint Encryption offrent des moyens simples de chiffrer les données sensibles, même pour des non-experts.

L’authentification multi-facteurs (MFA) accessible

Des outils comme Duo Security (Cisco) ou Microsoft Authenticator rendent la MFA facile à déployer pour les petites structures.

Des services managés externalisés

Pour les TPE/PME qui manquent d'expertise interne, les services de sécurité managés (MSSP - Managed Security Service Provider) offrent une alternative intéressante :

• SOC as a Service : SFR Business par exemple propose de surveiller votre systèmes via son approche NextGenSoc
• Services de réponse aux incidents : Des prestataires comme IBM Security ou FireEye offrent des services de réponse rapide en cas d'attaque, cruciaux pour les PME sans équipe dédiée.
• Gestion des vulnérabilités : Des sociétés comme Qualys ou Rapid7 proposent des services de scan et de gestion des vulnérabilités adaptés aux besoins des PME.
• Formation et sensibilisation externalisées : Des plateformes comme KnowBe4 ou Cybrary offrent des programmes de formation continue en cybersécurité pour les employés des PME.

Les fédérations professionnelles jouent aussi un rôle clé

Les fédérations professionnelles s'impliquent de plus en plus dans la cybersécurité de leurs membres avec :

Autres initiatives cybersécurité des entreprises aux niveau local et territorial

Ce type d’initiatives se multiplie pour soutenir les TPE/PME dans leur cybersécurité. On voit de plus en plus se créer des pôles de compétitivité, des incubateurs et des accélérateurs pour mutualiser les ressources sur la cybersécurité. Les chambres de commerce sont aussi de plus en plus actives sur le sujet.

La coopération entre acteurs et la mutualisation des moyens constituent un levier puissant pour renforcer la cybersécurité des TPE et PME. Ces approches collaboratives permettent non seulement de réduire les coûts et de partager les expertises, mais aussi de créer un écosystème plus résilient face aux cybermenaces.