Véritable tissu de l’économie, les PME représentent 99 % des entreprises françaises et ont, pour une grande majorité, su faire preuve de résilience au cours des deux années passées. 2022 inaugure une probable sortie de crise et reconfigure les enjeux auxquels elles sont confrontées : « La cybersécurité y tient désormais une place de choix, et alors que ces attaques visaient auparavant de grands groupes et des banques, les PME se retrouvent aujourd’hui en première ligne », explique Arnaud Mendelsohn. Les cyberattaques de tout type ont en effet considérablement augmenté, en particulier les arnaques et les escroqueries. Selon les chiffres communiqués par le gouvernement, près de la moitié des PME a déjà subi une cyberattaque.
Une multiplication des risques avec l’ouverture des systèmes informatiques
Comment expliquer cette accélération, qui fait des PME les nouvelles cibles privilégiées ? « Avant la Covid, les systèmes informatiques des entreprises étaient majoritairement configurés pour être utilisés en interne. Avec la crise, il a fallu basculer en urgence vers un modèle à distance, qui a eu la vertu de permettre aux entreprises de maintenir leur activité, mais a aussi multiplié les flux vers l’extérieur par le biais de connexions, supports et applications insuffisamment sécurisés », analyse Matthieu Douchet. « Or à chaque fois que des accès au système sont ouverts et que l’on fait transiter des fichiers et des documents confidentiels, les risques sont multipliés d’autant. »
Des attaques potentiellement fatales pour les PME
Parmi les cyberattaques qui ciblent les organisations, 80 % prennent encore la forme d’arnaques par email, de type phishing. Si elles constituent des menaces « de bas étage », « le nombre d’attaques plus sophistiquées augmente, avec des usurpations d’identité de type arnaque au président. Ces cyberattaques démontrent une professionnalisation des pratiques : en bande organisée, avec un travail d’apprentissage de la culture et de l’environnement de l’entreprise effectué en amont, ainsi qu’une plus grande sophistication technique », analyse Arnaud Mendelsohn.
Preuve, également, de cette sophistication croissante, les attaques par rançongiciels ne ciblent plus uniquement les grandes entreprises mais aussi les PME et ETI, et peuvent se montrer désastreuses : « C’est une menace dont le risque n’est bien souvent mesuré que trop tard, et qui peut conduire au dépôt de bilan d’une PME en paralysant son activité lors d’une phase cruciale, par exemple au moment des fêtes de fin d’année », alerte Matthieu Douchet. Signe des temps, l’interruption d’activité a justement été placée par les entreprises comme la première menace qui pesait sur elles en 2021.
Transformer sa culture d’entreprise
Cette menace est donc à placer au rang des priorités, en ce début d’année. Et si une partie du risque est interne à l’entreprise, une partie de la solution l’est aussi. « La clef est la culture d’entreprise. En faisant prendre conscience des risques aux collaborateurs, de nouvelles procédures plus sécurisées peuvent être mises en place pour se prémunir contre une majorité des formes d’attaques », rassure Matthieu Douchet. Et Arnaud Mendelsohn de préciser : « Etablir des protocoles de communication, comme la double vérification, ou encore doubler les processus de signature et d’envoi d’ordre aux banques protège contre les usurpations d’identité et les détournements. »
Le capital-investissement, partenaire des transformations
Les PME se trouvent aujourd’hui à un croisement entre nouveaux modes de travail et nouvelles menaces. S’y adapter implique pour elles une refonte de leur culture d’entreprise autour de l’ouverture qui est au cœur de la lutte contre les cyberattaques. Celles-ci profitent en effet non seulement de systèmes plus ouverts, mais aussi du fait que certaines discussions informelles qui permettaient de les éviter sont devenues moins fréquentes. « Sur des attaques du type arnaques ou usurpations d’identité, nous avons constaté que le risque est minoré voire annulé dès que les collaborateurs ont l’occasion d’en discuter entre eux et de lever les incertitudes sur lesquelles reposent ces menaces », rapporte Matthieu Douchet. La solution passe donc elle aussi par davantage d’ouverture, mais cette fois dans la culture d’entreprise, qui doit être repensée. « Cette évolution est très importante et ne pourra être réussie qu’en mettant l’accent sur trois aspects : la sensibilisation des dirigeants et des équipes aux menaces ; la mise en place de protocoles de vérification ; l’instauration de nouveaux modes d’échange et de partage pour favoriser la proximité entre collaborateurs », synthétise Arnaud Mendelsohn.
Si le recours à des expertises externes pour réaliser des audits ou des tests d’intrusion afin de vérifier la résistance du système ne fait pas encore partie des pratiques courantes des PME, celles-ci devraient progressivement y venir. « 2022 marquera le passage de la prise de conscience théorique à l’action pratique », espèrent les deux Directeurs associés.
Retour au dossier thématique
