Les Très Petites Entreprises ou TPE sont des entreprises de moins de 10 salariés dont le chiffre d’affaires annuel ou le bilan total est inférieur à 2 millions d’euros. Depuis la loi n° 2008-776 de 2008, on les appelle également microentreprises. Véritables accélérateurs du développement national, elles ne cessent de se multiplier et représentent une part importante de l’activité du pays. En 2015, deux tiers des entreprises françaises étaient des TPE, tandis qu’aujourd’hui le nombre de TPE a atteint plus de 3 millions. Cumulées aux PME, ces entreprises sont majoritaires et occupent 99.9% du total des entreprises françaises. Peu surprenant qu’elles soient donc devenues la cible préférée des cyberattaquants. D’autant qu’en France, ces petites entreprises tendent généralement à négliger le risque cyber. Sous-traitants, fournisseurs, filiales de grands groupes… Tous sont des cibles faciles et ont beaucoup à perdre. Selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE), il se passe en moyenne 167 jours entre une intrusion cybercriminelle et sa détection. Une durée impressionnante qui laisse largement le temps aux pirates de causer des dégâts monumentaux. Pourtant, rares sont les petites entreprises qui prennent la mesure de ces risques et qui décident d’investir pour la cybersécurité de leurs données et systèmes d’information.
La cybersécurité en TPE et PME : quelques chiffres
2 TPE-PME sur 5 ont déjà été victimes de tentatives ou d’attaques informatiques. Les techniques sont souvent les mêmes : phishing, spywares, ransomwares, malwares ou fraudes au président pour subtiliser des données confidentielles ou extorquer des fonds… Les exemples de cyberattaques ne manquent pas.
D’après l’enquête de la CPME (Confédération des Petites et Moyennes Entreprises) sur la cybersécurité des TPE et PME du 22 janvier 2019, 41% des entreprises de 0 à 9 salariés et 44% des entreprises de 9 à 49 salariés ont déjà essuyé une cyberattaque.
Une tendance qui s’aggrave comme le révèle le rapport Symantec Security Threat qui démontre que les attaques dirigées vers les entreprises de moins de 250 salariés sont passées de 18% à 31% en l’espace de 4 ans. Les entreprises ciblées doivent alors faire face à des conséquences terribles. Par exemple en février 2019, LVH électronique est paralysée suite à l’ouverture d’un mail contaminé. Les ordinateurs ne répondent plus et les employés se retrouvent alors au chômage technique pendant deux semaines. Si la PME bretonne réussie finalement à s’en sortir, d’autres, moins chanceuses, doivent faire face à des dommages financiers importants. Selon le Medef, 20% des TPE concernées ont subi un préjudice supérieur à 50 000 €. Pour 13% d’entre elles, il dépasse même les 100 000 €. Dans les cas les plus graves, certaines entreprises doivent mettre la clé sous la porte. On parle notamment de 71% de PME-TPE, contraintes de mettre fin à leur activité à la suite d’une cyberattaque.
Si les cyberattaques peuvent être exclusivement virtuelles, d’autres peuvent également avoir des conséquences physiques. Ainsi en 2013, des hackers s’en prennent à une station d’eau potable en Géorgie et modifient les réglages des taux de chlore et de fluor. Résultat : l’eau est rendue impropre à la consommation pour 400 personnes.
Si la quasi-totalité des entreprises dispose aujourd’hui d’au moins un outil de sauvegarde, elles ne sont que 17% à être assurées contre les attaques informatiques. De même, la sensibilisation des salariés est loin d’être une priorité puisque moins de la moitié des entreprises adoptent une politique de sensibilisation des salariés aux cyber-risques. Un tiers a néanmoins nommé un référent interne en charge de la sécurité informatique.
De nouvelles initiatives en faveur de la cybersécurité des PME
Mais pourquoi cette négligence de la part des PME ? Dans un monde de l’entreprise toujours plus digitalisé, comment passer à côté de la cyber-sécurisation des équipements et des données ?
On peut avancer une première explication sans prendre trop de risques. En effet, le domaine de la cybersécurité peut paraître difficile d’accès. Ainsi, confrontée à une offre peu compréhensible et souvent onéreuse, l’entreprise se trouve démunie et préfère souvent remettre à plus tard des investissements qui ne lui semblent pas prioritaires. Il faut également garder à l’esprit que ces entreprises sont généralement peu sensibilisées face au risque cyber. Vient s’ajouter à cela l’idée reçue selon laquelle les hackers préfèrent s’en prendre aux grands groupes. Pourtant, s’introduire dans le système d’informations d’une multinationale requiert plus d’expertise et de temps que franchir les barrières des microentreprises. Parfois, celles-ci sont même simplement des cibles indirectes pour atteindre des entreprises de taille supérieure.
À ce sujet, l’enquête de la CPME détaille la négligence des petites structures face aux risques de cyberattaque. Par exemple, 45% d’entre elles ne disposent pas de solutions anti-spam pour leurs ordinateurs de bureau et 58% n’en disposent pas sur leur réseau. Les actions préventives comme les changements de mots de passe réguliers ne font pas non plus partie des usages courants : 33% des TPE-PME changent leurs mots de passe tous les 6 à 12 mois.
Les hackers en profitent alors pour s’infiltrer dans leur système et exiger des rançons en échange du déblocage des accès. Les microentreprises sont alors contraintes de d’y plier, soit par inexpérience soit par nécessité, afin de garantir leur survie.
Pour répondre à ces problématiques, de nouvelles initiatives voient le jour. Parmi elles, le guide « Maîtrise du risque numérique » rédigé par l’AMRAE et l’ANSSI qui vise justement à accompagner les dirigeants et risk managers dans la construction d’une réelle politique de gestion du risque numérique au sein de leur organisation. On assiste également à la naissance de « coach sécurité » à l’image de la plateforme Oppens qui permet de procéder en ligne à l’auto-diagnostic du niveau de cybersécurité de son entreprise.
Pour limiter le risque de cyberattaque sur son système d’information, de plus en plus d’entreprises se tournent maintenant vers des solutions de détection des menaces avancées. Gatewatcher fait partie des principaux acteurs du marché avec plus de 300 sondes installées en France et à l’international. Elle édite la solution Trackwatch capable d’analyser en temps réel les flux réseaux pour détecter et réduire les risques d’infection.