Nos échanges réguliers avec nos clients et prospects ont permis de collecter un certain nombre d'idées reçues sur la cybersécurité et sur les menaces qui pèsent parfois sur les entreprises. L'idée de cet article mensuel est d'expliquer factuellement les risques qu'une PME peut rencontrer à tout moment de sa vie, sans pour autant céder aux sirènes de l'alarmisme. Nous espérons pouvoir nous faire pardonner pour le titre volontairement provocateur grâce à une série de conseils permettant de vous faire comprendre les enjeux de la cybersécurité pour les PMEs.
Par définition, les petites à moyennes entreprises disposent de ressources financières et humaines nettement plus limitées que les grands groupes internationaux. Dès lors, dans la tête d'un hacker potentiel, un calcul se fait rapidement: vaut-il mieux attaquer plusieurs petites entreprises faiblement sécurisées et remporter de petites sommes, ou est-il plus intéressant de se focaliser sur un seul grand compte qui disposera de moyens parfois sophistiqués pour détecter et contrer des attaques ?
Imaginez que vous vous tenez devant un grand pommier au milieu d'un verger. À son sommet, de belles pommes rouges ayant profité d'un soleil généreux, mais très difficiles d'accès. En bas, à portée de main, vous avez des pommes ayant bénéficié d'un peu moins de soleil, mais qui ont commencé à rougir et à se gorger de sucre. Lesquelles choisissez-vous ? À moins d'être formidablement équipés, les hackers choisiront en priorité les fruits murs à leur portée. Sur l'arbre imaginaire de l'économie, les fruits murs accessibles, ce sont généralement des PMEs.
La solution : faire en sorte que votre entreprise soit moins appétissante pour un hacker, c'est-à-dire renforcer sa cybersécurité. Les moyens financiers ne sont pas les plus importants, il est possible de faire mieux que 80% des PMEs avec un budget limité. Tout est une histoire de priorisation des risques.
Nous voyons certaines entreprises se barricader derrière de nombreuses solutions techniques pour prévenir les intrusions, les virus, les emails malveillants et bien d'autres menaces. Pourtant, elles négligent un facteur important : l'humain. L'humain, s'il n'est pas sensibilisé aux risques, est manipulable. C'est ainsi que de nombreuses attaques à succès commencent par une clé USB trouvée sur un parking d'entreprise et branchée sur un ordinateur, ou sur un clic maladroit dans un email malicieux. Quoi que vous fassiez, l'humain restera une source d'erreur, c'est dans sa nature. En revanche, vous pouvez "transformer" ce risque en protection supplémentaire grâce à des formations intelligemment orchestrées et dispensées.
La solution : sensibiliser vos collaborateur-trice-s aux risques de l'entreprise, les informer de leurs responsabilités et leur donner les outils intellectuels et techniques pour résister face aux attaques d'ingénierie sociale (manipulation) les plus communes.
De nombreux prospects que nous rencontrons utilisent une variante du même message: "Nous n'avons rien de valeur, personne ne s'intéressera à nous.". C'est malheureusement une idée préconçue fausse et dangereuse. C'est l'équivalent de jouer à l'autruche qui enfonce sa tête dans le sable. Prenez le temps de lire l'actualité en cybersécurité, et vous comprendrez que la PME familiale n'est pas épargnée.
Réfléchissez un instant à ce qui se passerait si vous perdiez tout accès à votre système informatique pendant plusieurs jours, voire semaines. Que pourriez-vous continuer de faire, et que ne pourriez-vous plus faire ? Ce que vous ne pouvez plus faire (ou respectivement les salaires que vous verseriez dans le vide) détermine votre risque maximal à gérer. Un hacker jouera notamment sur cet impact pour vous faire chanter, et payer une rançon. Et si cela ne suffit pas, une menace de divulguer des secrets de fabrication ou des données de clients pourra peut-être vous convaincre. Cela affecte en effet grandement l'image de marque des entreprises.
Si vous n'êtes pas la cible d'un hacker, vous pouvez toujours être une victime collatérale d'une autre attaque : il n'est pas rare d'observer que des fournisseurs se font attaquer et que l'attaque "déborde" sur des entreprises liées qui n'étaient, au départ, pas visées. Un ransomware, par exemple, va procéder au chiffrement de toutes les données qu'il trouve sur tous les systèmes connectés, sans distinction d'entreprise cible. Il est d'ailleurs courant qu'un hacker inexpérimenté perde le contrôle sur le ransomware qu'il utilise, résultant en des victimes collatérales importantes.
La solution : anticipez, préparez-vous à l'éventualité d'être attaqué d'une manière ou d'une autre. Avoir un plan de reprise sur activité (PRA) permet de ne pas avoir à réfléchir lors d'une attaque, car tous les éléments sont déjà définis au préalable (communication, processus de récupération, qui appeler et quand, etc.).
Chez iptagone, nous avons les réponses à de nombreuses questions que vous pourriez vous poser, y compris concernant les thématiques abordées dans cet article. Vous souhaitez un conseil, de l'aide pour implémenter une sécurité plus robuste avec un budget contrôlé ? Prenez contact avec nous pour une première évaluation gratuite de votre situation.
Bonus : vous souhaitez comprendre à quelles sont les menaces courantes pour les PMEs? Cet article de Fortinet peut vous aider à y voir plus clair.
Rédigé par Alain Jean-Petit-Matile, sans IA.