Les cyberattaques ne cessent de se multiplier et de se diversifier, touchant tous les secteurs d'activité et toutes les tailles d'entreprises. Mais les PME et les ETI sont particulièrement vulnérables et exposées à ces menaces numériques, qui peuvent avoir des conséquences dramatiques pour leur activité, leur réputation et leur survie. Selon une étude Symantec, 71% des TPE et PME qui font l'objet d'une cyberattaque ne s'en remettent pas. Pourquoi ces petites et moyennes structures sont-elles devenues les proies favorites des hackers ? Quels sont les facteurs qui expliquent cette évolution ? Comment peuvent-elles se protéger efficacement ?
Quelques éléments de réponses de Farid Lahlou, co-fondateur et CEO de BonjourCyber, start-up qui propose une offre de cybersécurité complète, et clé en main, pour les PME et les ETI.
Les hackers se tournent vers les cibles les plus faciles
Farid Lahlou explique que les hackers ont changé de profil et de stratégie au fil du temps : « Avant, les hackers étaient plutôt des groupes organisés, motivés par des intérêts financiers, politiques ou idéologiques, qui ciblaient des grandes entreprises ou des institutions stratégiques. Aujourd'hui, ils sont aussi de plus en plus des individus isolés, qui agissent par curiosité, par défi ou par vengeance, et qui profitent de la facilité d'accès aux outils de piratage disponibles sur le dark web. Ces outils permettent à n'importe qui, même sans compétences techniques particulières, de lancer des attaques massives et automatisées, comme par exemple des ransomwares ou des DDoS ».
Ces attaquants opportunistes visent souvent des PME et des ETI, qu'ils considèrent comme des cibles faciles et rentables. Malgré les risques, 83% des dirigeants de petites et moyennes entreprises n'ont toujours pas mis en œuvre une stratégie de cybersécurité, selon une étude de Advisor Smith.
Farid Lahlou donne un exemple concret : « Récemment, nous avons été contactés par une PME qui avait été victime d'un ransomware. Un hacker avait réussi à infiltrer son système informatique et à chiffrer toutes ses données. Il demandait une rançon de 50 000 euros pour les déchiffrer. La PME n'avait pas de sauvegarde récente ni de plan de continuité d'activité. Elle était donc dans l'impasse. Elle a fini par payer la rançon, mais sans garantie de récupérer ses données ni d'éviter une nouvelle attaque ».
Les grandes entreprises se protègent mieux
Farid Lahlou nous indique que les grandes entreprises ont pris conscience du risque croissant que représentent les cyberattaques pour leur activité, leur image et leur compétitivité. Elles ont donc investi massivement dans la protection de leur système d'information, en renforçant leur sécurité technique (antivirus, firewall, sauvegarde, etc.), en sensibilisant leurs collaborateurs aux bonnes pratiques (mot de passe, phishing, etc.), en se dotant d'équipes dédiées à la cybersécurité ou en faisant appel à des prestataires spécialisés. Elles ont également mis en place des plans de continuité d'activité ou de gestion de crise pour faire face aux éventuelles attaques et limiter leurs impacts.
Ces mesures ont permis aux grandes entreprises de se prémunir contre la plupart des cyberattaques ou du moins de les détecter et de les contenir rapidement. Les hackers se heurtent donc à une résistance accrue et se tournent vers des PME et des ETI moins sécurisées et moins préparées.
Les PME et les ETI doivent se protéger
Farid Lahlou alerte sur le fait que les PME et les ETI doivent prendre conscience qu'elles sont désormais dans le viseur des hackers et qu'elles doivent agir pour se protéger. Ses conseils pour y parvenir :
- Faire un diagnostic de sa situation et de son niveau de risque, en identifiant ses données sensibles, ses points faibles et ses scénarios d'attaque possibles.
- Mettre en place des mesures de base, comme installer un antivirus, faire des mises à jour régulières, utiliser des mots de passe forts et uniques, sauvegarder ses données, former ses collaborateurs, etc.
- Faire appel à des experts en cybersécurité, qui propose une offre de cybersécurité complète et clé en main pour les PME et les ETI.
- Souscrire à une assurance cyber, qui permet de couvrir les frais liés à une cyberattaque (rançon, restauration des données, indemnisation des clients, etc.) et de bénéficier d'un soutien juridique et technique.
La cybersécurité n'est plus une option, mais une nécessité pour les PME et les ETI, qui doivent se protéger pour assurer leur pérennité et leur croissance.
Prônez une approche progressive de la Cyber
« Plutôt que d'essayer de mettre en œuvre plusieurs changements stratégiques majeurs en même temps, adoptez une approche progressive dans la gestion de votre cyber risque en fonction de votre budget et des ressources dont vous disposez.
Menez ce combat stratégique pas à pas, mais avec rigueur et organisation. L
'objectif est de commencer le processus, de développer une stratégie et de muscler sa protection étape par étape.
En 2023, votre Cybersécurité va vous faire gagner des clients ! » rappelle Farid Lahlou.