Nombre de PME françaises se pensent à l’abri d’une cyberattaque, parce que leur taille ne serait pas assez importante. Erreur. Les attaquants mettent souvent en place des stratégies indirectes pour atteindre leurs cibles.
Il est grand temps pour certains dirigeants de PME et TPE françaises de considérer, une bonne fois pour toutes, qu’aucune entreprise, quelle que soit sa taille et son secteur d’activité, n’est à l’abri d’attaques cyber, qu’elles soient ciblées ou « au chalut ». Les dernières attaques sur la chaine d’approvisionnement ont démontré que les cybermalfaiteurs mettent en place des stratégies indirectes. Ce n’est donc pas toujours l’entreprise attaquée qui est visée. Dans une publication récente, l’ANSSI relevait que 54 % des PME se pensent à l’abri d’une cyberattaque parce que leur taille ne serait pas assez importante.
Une étude réalisée par Zyxel, auprès de 140 dirigeants de PME françaises en juin 2021, révèle un retard important dans la façon d’appréhender la cybersécurité. Malgré la multiplication des attaques, le risque est toujours sous-estimé. « C’est une erreur de discernement, s’exclame Jean-Marc Guignier, directeur général de Zyxel France. La cybersécurité, ce n’est pas qu’une affaire de grands groupes internationaux, tout le monde est et doit se sentir concerné puisque chaque entreprise peut être attaquée. Penser le contraire, c’est mettre en danger son activité et s’exposer à des conséquences déplorables : 60 % des PME victimes d’attaques déposent le bilan dans les 6 mois qui suivent ».
La cybersécurité est un processus continu
C’est d’autant plus dramatique que les entreprises et leurs salariés sont confrontés à une période d’incertitudes et d’évolution des modes d’organisation. « Les structures mêmes des entreprises évoluent : le télétravail se développe, le cloud est roi, le BYOD s’accélère… Le terrain est fertile pour les criminels 2.0 », ajoute Jean-Marc Guignier. Parmi les 47 % de PME qui ne font pas de la cybersécurité une priorité, 40 % déclarent pourtant avoir subi une attaque ayant entraîné une perte de chiffre d’affaires pour 50 % d’entre eux et une interruption de la production pour 23 %.
Les causes de ce manque de considération du risque tiennent à la méconnaissance et au fait que la majorité des répondants pensent être bien préparés. « Il ne faut pas considérer le risque d’attaques faible dès lors que l’on est équipé, prévient Jean-Marc Guignier. La cybersécurité c’est l’affaire de tous les jours : des processus continus, des audits réguliers, des mises à jour d’équipements… La méconnaissance du budget qui y est alloué est révélatrice ». En somme, l’erreur consiste à croire que l’on est protégé une bonne fois pour toutes dès que l’on s’équipe.
Pour preuve, si 25 % des dirigeants interrogés pensent que les risques sont élevés ou très élevés, 33 % pensent qu’ils sont modérés. Certains dirigeants n’en ont tout simplement pas conscience : près de 45 % des répondants estiment que le risque est faible à très faible.
Équipé ne signifie pas protégé
Parmi ces derniers, il aurait été intéressant de savoir combien d’entre eux reposent leurs certitudes sur le fait d’être équipés. Car une majorité de ceux qui le sont, près de 75 %, pense être bien préparée. Cette attitude est d’autant plus déroutante que les dirigeants n’ont pas vraiment connaissance de la part de la cybersécurité dans les investissements informatiques. Plus de la moitié des répondants ne connaît pas la part du budget IT consacrée à la cybersécurité.
En revanche, la conscience du danger est très présente chez ceux qui se sont déjà faits hacker. Parmi les entreprises ayant déjà subi une attaque, 37 % estiment que la sécurité est insuffisante ou qu’elle présente des lacunes dans leurs entreprises. Pour certains la prise de conscience se fait après une attaque : près des deux tiers des entreprises victimes font de la sécurité une priorité.