Une prise de conscience du risque cyber est devenue nécessaire pour prendre efficacement en charge les risques opérationnels et financiers que font peser les menaces informatiques sur nos économies.
L’année 2021 aura été l’année de tous les records en matière de cyberattaques. Avec 37% d’attaques en hausse sur l’an passé et un conflit international en cours, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est en état d’alerte maximale et appelle toutes les entreprises à mettre en place les 5 mesures cyber préventives prioritaires.
Même si aucune aggravation n’a été détectée depuis le début du conflit russo-ukrainien, le risque d’attaques systémiques est toujours d’actualité. Depuis 2020 et la crise du COVID, les techniques d’intrusion ne cessent de se complexifier, et les TPE et PME sont devenues les victimes n°1 des hackers. Une cible certes moins lucrative que les grands groupes, mais plus facile à atteindre, car, le plus souvent, moins bien protégée.
Une prise de conscience du risque cyber est devenue nécessaire pour prendre efficacement en charge les risques opérationnels et financiers que font peser les menaces informatiques sur nos économies.
Les TPE et PME en première ligne face à un écosystème criminel en pleine mutation
Aujourd’hui, la question n’est plus de savoir si une entreprise va se faire attaquer, mais quand ? Les chiffres sont sans appel. Avec une augmentation de +255% de ransomware (rançongiciel) en 2020, la France est aujourd’hui le 3è pays le plus touché par ce fléau et les principales victimes sont… des TPE et PME. Ce virus qui prend en otage les données d’une entreprise et qui exige une rançon en échange de leur restitution est principalement rendu possible grâce à la technique du phishing (hameçonnage). Il s’agit de la technique d’attaque la plus répandue. Elle a pour spécificité de ne pas exploiter de vulnérabilité technique du système informatique, mais les faiblesses de l’être humain pour aboutir à ses fins : il suffit d’un collaborateur qui transmet ses données d’authentification ou télécharge une pièce jointe vérolée via un mail frauduleux pour que l’activité de l’entreprise soit mise à mal.
D’autres types d’attaques font rage aux côtés des ransomware : piratage de site internet, détournements de fonds, vols de données, fuites de données, usurpation d’identité… Les cybercriminels vont également utiliser des failles techniques pour s’introduire dans le système informatique d’une entreprise : un système qui n’a pas été mis à jour ou un serveur mal configuré peuvent facilement faire basculer l’activité de l’entreprise. À cela viennent s’ajouter les vulnérabilités appelées “zero-day”, ces failles techniques jusqu’alors inconnues exploitées par les hackers pour s’introduire dans le système sont en forte augmentation, d’après l’ANSSI.
Aussi, les petites et moyennes entreprises doivent aujourd’hui lutter contre deux types de vulnérabilités pour se prémunir des cyberattaques et protéger leurs données. Les vulnérabilités humaines et les vulnérabilités techniques. Le combat doit se mener sur ces deux fronts. Or, les TPE et PME peinent à se protéger et à mettre en place une bonne hygiène cyber par manque de temps, manque de ressources et de moyens financiers.
Des pertes financières qui peuvent être fatales pour les TPE-PME
Prendre le risque de ne pas se protéger, c’est prendre le risque de perdre 27% de son chiffre d’affaires et de ne jamais se relever après avoir subit une cyberattaque, souligne le dernier baromètre d’Anozr Way. Des faits qu’il est temps de prendre très au sérieux dans le contexte propice aux cyberattaques que nous vivons depuis le début de la crise sanitaire.
D’après le baromètre CESIN 2022, le secteur de la vente en ligne et le secteur financier sont actuellement les plus touchés par les intrusions qui portent atteinte à leurs données avec respectivement 52% et 43% d’attaques réussies. Des chiffres alarmants à mettre en perspective avec les pertes financières engendrées et le danger que cela représente pour la pérennité de nos économies.
Pour éviter que la situation ne continue de s’aggraver, il devient urgent que chaque entreprise consacre le temps et alloue les ressources humaines et financières nécessaires à sa protection.
En matière de cybersécurité, le risque zéro n’existe pas
Prendre conscience du risque passe bien évidemment par la mise en place des bonnes pratiques de cybersécurité. L’ANSSI œuvre énormément à ce sujet en encourageant les entreprises à protéger leurs systèmes informatiques (renforcer l’authentification, accroître la supervision des données) et à mettre en place le minimum pour être prêt en cas de cyberattaque (mise en place de sauvegardes hors ligne et d’un plan de continuité d’activité).
Cependant, cela ne suffit pas pour être efficacement protégé. Une meilleure hygiène cyber permet de réduire le risque, mais n’empêchera pas une attaque par phishing de réussir. Une campagne de sensibilisation aux techniques de phishing permet également de réduire le risque, mais pas d’éradiquer celui-ci. En matière de cybersécurité, le risque zéro n’existe pas.
L’assurance cyber : un indispensable trop souvent négligé
L’assurance cyber est à considérer comme une brique évidente et complémentaire aux bonnes pratiques cyber pour protéger l’activité des petites et moyennes entreprises. Il s’agit aujourd’hui du seul moyen d’être accompagné dans la remise en état du système informatique, remboursé des pertes d’exploitation subies et d’être couvert en cas de dommages causés à des tiers comme une fuite de données confidentielles.
Même si les assureurs cyber traditionnels restent frileux quant à la couverture d’un risque qu’ils ne maîtrisent pas, il existe aujourd’hui de nouveaux acteurs sur le marché qui proposent une assurance cyber accessible et adaptée au plus grand nombre de TPE et PME. Une assurance qui devrait être encouragée par les pouvoirs publics et proposée par tous les courtiers en assurance pour prévenir la propagation des virus au sein de l’écosystème économique français.
Une prise de conscience du risque cyber est indispensable… tant qu’il est encore temps.
Laisser un commentaire