Internet reste la porte d’entrée n°1 des cybercriminels pour pirater les PME, d’après une étude réalisée auprès de 23 000 PME (entre 10 et 250 employés), entre janvier et février 2021, par OZON en partenariat avec Wallix, Docaposte Arkhineo, Visiativ, Swiss Re Corporate Solutions et Croissance plus. Les PME représentent des portes d’entrée plutôt faciles pour les hackers. La panoplie des attaques à leur disposition est impressionnante, avec des actions malveillantes aux conséquences destructrices telles que des attaques web (intrusion, vol de données), des propagations de programmes malveillants (via site web ou email), rançongiciels, hameçonnage (vol d’identifiants), hameçonnage ciblé (fraude au transfert de fonds), vol de données (revente au marché noir).
Cette étude révèle le très haut niveau de vulnérabilité des PME, aggravé par les défauts de protection du web (WAF) et des courriels. Les défauts de protection de l’Internet représentent l’immense majorité avec 95 % des sites web qui ne sont pas protégés contre les cyberattaques applicatives spécifiques (XSS, SQLi…) ou exploitant des vulnérabilités logicielles connues (CVE). Dans le lot, le secteur public vient en tête avec un taux de 80 %. À effectif équivalent, les organisations du secteur public sont plus vulnérables que les PME du secteur privé (70 %).
Défaut de protection du courriel
Le comptage des vulnérabilités met en évidence un manque flagrant de protection, car, en valeur médiane, chaque site web contient 63 vulnérabilités logicielles CVE critiques. Quant aux contre-mesures les plus basiques comme l’usage du protocole HTTPS, les trous dans la raquette restent majoritaires : 74 % des composants SSL/TLS supportent des versions de protocole comportant des faiblesses et des vulnérabilités.
À cela s’ajoutent les défauts de protection du courriel, l’autre vecteur privilégié d’attaque. Là aussi, une immense majorité des services audités (96 %) n’utilise pas un service de filtrage des courriels permettant de détecter et bloquer les cyber attaques de type maliciel, d’hameçonnage et d’hameçonnage ciblé.
Pour une PME, l’impact financier moyen d’une cyberattaque est évalué à 160 k€ (source : OZON et Swiss Re CorSo). Selon la gravité de l’attaque et le manque de mesures de protection, les PME peuvent être paralysées et subir alors des pertes considérables : chute du chiffre d’affaires, dégradation de la réputation, baisse de la clientèle, sanction réglementaire CNIL…