Internet reste la porte d'entrée n°1 des cybercriminels pour pirater les PME, d'après une étude réalisée auprès de 23 000 PME sur janvier et février 2021 par OZON en partenariat avec WALLIX, Docaposte Arkhineo, Visiativ, Swiss Re Corporate Solutions et Croissanceplus.
Le baromètre OZON 2021 réaffirme une évidence : le très haut niveau de vulnérabilité des PME, aggravé par les défauts de protection web (WAF) et emails.
Les principales conclusions de ce baromètre sont les suivantes :
- Le secteur public est très vulnérable : avec un taux de 80 %, à effectif équivalent, les organisations du secteur public sont plus vulnérables que les PME du secteur privé (70 %)
- Défaut de protection web : 95 % des sites web ne sont pas protégés contre les cyberattaques applicatives spécifiques (XSS, SQLi...) ou exploitant des vulnérabilités logicielles connues (CVE)
- Chaque site web contient 63 vulnérabilités logicielles CVE critiques (valeur médiane)
- Protocole de sécurité HTTPS : 74 % des composants SSL/TLS supportent des versions de protocole comportant des faiblesses et des vulnérabilités
- Défaut de protection email : 96 % des entreprises n'utilisent pas un service de filtrage sécurité email permettant de détecter / bloquer les cyberattaques de type malware, phishing et spear-phishing
« Au cours des dernières années, les grandes entreprises ont déployé des moyens considérables pour assurer leur cybersécurité. La tâche des hackers devenant plus ardue », indiquent les auteurs de ce rapport.
Notons cependant que les attaques de ransomwares qui en ont touché certaines grandes organisations montrent que tout n’est pas sous contrôle…
Les PME représentent donc des portes d'entrée, sans verrou, pour les hackers pouvant mener des actions malveillantes massives telles que des attaques web (intrusion, vol de données), des propagations de programmes malveillants (via site web ou email), ransomware - phishing (vol d'identifiants/mots de passe) - spear phishing (fraude au transfert de fonds), vol de données (revente au marché noir).
Impact financier moyen d'une cyberattaque : 160 k€
Plusieurs raisons expliquent que les PME sont plus vulnérables et exposées. Tout d'abord, le fait que les PME pensent que seules les grandes entreprises sont visées.
Deuxième raison, l'absence de moyens financiers et humains, consacrés à la cybersécurité : une PME consacre en priorité ses ressources à son cœur de métier : vente, production, service au client et embaucher un responsable de la sécurité informatique passe au second plan.
Enfin, les modes de fonctionnement des PME sont moins formels ce qui implique davantage de risques : partage de mots de passe entre collaborateurs, absence de procédure restreignant l'accès de données sensibles. Le déploiement accéléré et parfois anarchique du télétravail ces derniers mois a également renforcé les risques cyber.
Pour une PME, l'impact financier moyen d'une cyberattaque est évalué à 160 k€ (source : OZON et Swiss Re CorSo). Selon la gravité de l'attaque et le manque de mesures de protection, les PME peuvent être paralysées et subir alors des pertes considérables : chute du chiffre d'affaires, dégradation de la réputation, baisse de la clientèle, sanction réglementaire CNIL...
Une cyberattaque peut mettre à l'arrêt toute l'activité de l'entreprise et lui faire déposer le bilan.
« Cette étude révèle de manière criante la vulnérabilité des PME françaises en matière de cybersécurité. Or, les PME ne pourront se développer dans les années qui viennent qu'en établissant un contexte de confiance numérique avec leurs clients et leurs partenaires. Ce renforcement de la cybersécurité pour les PME est donc bien un enjeu national. » déclare Thibaut Bechetoille, président de Croissance+ et codirigeant d'OZON.