La sécurité informatique est une discipline en pleine évolution. S’il y a quelques années, elle ne concernait que les grosses structures et les DSI, aujourd’hui, toutes les entreprises de toutes les tailles peuvent devenir la cible d’attaques. Parce qu’elles sont mal préparées, ces entreprises mettent souvent un certain temps à réagir et ne signalent que très rarement les délits.

Pourtant, il est important pour les petites et moyennes structures de s’adapter dès aujourd’hui à ces nouvelles menaces, car les attaques se diversifient et que les conséquences d’un piratage ou d’une intrusion sont souvent très graves pour la pérennité de l’activité.

Nous allons dans cet article passer en revue les cibles de ces attaques, le coût de cette criminalité, les types de menaces ou encore les précautions à prendre.

Qui peut être la cible d’une attaque ?

Vols, escroqueries et espionnages se sont développés sans commune mesure depuis l’apparition d’Internet. En effet, sur la toile, rien n’est, semble-t-il, plus facile pour les pirates de récupérer des numéros de cartes bancaires, des documents à caractère personnel ou encore des données stratégiques appartenant à des entreprises.

Selon un article paru sur Ouest-France, les cybermenaces se concentrent davantage sur les entreprises françaises que sur les particuliers, puisqu’elles récoltent 77 % des attaques.

Si les hackeurs privilégient désormais les entreprises, c’est parce que les informations qu’ils peuvent y trouver sont davantage monnayables. Il est ainsi possible d’obtenir des données concernant de la recherche et développement, des informations commerciales, ou encore des données à caractère personnel telles que des informations clients.

Quel est le coût de cette cybercriminalité ?

Comme nous le mentionnions en introduction, la plupart des PME ou des TPE qui sont victimes d’une attaque informatique ne le déclarent pas. De ce fait, il est assez difficile de disposer de statistiques fiables concernant les éventuels problèmes de cybercriminalité qu’elles rencontrent.

Ainsi, selon Bernard Cazeneuve, le Ministre de l’Intérieur, plus d’un tiers des entreprises françaises de moins de 250 salariés seraient victimes de cyberattaques. Ce qui pourrait représenter plusieurs milliards d’euros de pertes.

Pour une entreprise, le coût se mesure en perte de crédibilité, mais aussi, en interruption d’activité, perte de clients ou encore poursuites judiciaires. Enfin, certaines entreprises ayant été victimes de cybercriminalité finissent tout simplement par fermer leurs portes.

Des menaces de plus en plus diversifiées

Au-delà des augmentations des attaques en termes de volume, on distingue également une diversification des types de menaces. Chaque année, l’entreprise Dell publie un rapport concernant les attaques informatiques les plus communément observées envers les entreprises. Ainsi, dans la dernière étude parue en avril 2015, Dell identifie six domaines dans lesquels les entreprises doivent s’attendre à des attaques en 2015.

• L’Internet des objets : même si les objets connectés ne sont pas très répandus (télévision, réfrigérateur…), ils ne répondent généralement pas aux standards basiques de sécurité et peuvent donc représenter une faille éventuelle dans le système.
• Les appareils mobiles : moins bien sécurisés que les postes fixes, les appareils mobiles (téléphone, Smartphone, tablette…) représentent une menace d’autant plus importante que leur usage est aujourd’hui totalement généralisé.
• Les machines virtuelles : exposées aux mêmes risques que les serveurs, elles nécessitent une approche orientée applications qui leur octroie des vulnérabilités supplémentaires et qui nécessitent donc des compétences spécifiques.
• La cybercriminalité traditionnelle : avec des motivations économiques ou politiques, ce type d’attaque est en forte hausse à la fois dans les entreprises, les établissements publics, les sites industriels etc.
• Les distributeurs de billets, de tickets ou terminaux de vente : bien qu’équipés de systèmes sécurisés, les piratages sont désormais de plus en plus sophistiqués sur ces types d’appareils.
• Le protocole Web https : les attaques via ce protocole se multiplient car il est possible pour les pirates d’y cacher du code malveillant. Ce type d’attaque sera difficile à détecter car dans ce cas c’est le code malveillant lui-même qui est chiffré par le protocole https.

Quelles précautions une PME ou une TPE peut-elle prendre ?

Ainsi, parce qu’elles sont de plus en plus victimes d’attaques, les PME et les TPE se doivent de mettre en oeuvre un certain nombre de précautions au sein de leur système d’information, notamment, connaître la menace pour mieux l’anticiper et cloisonner le système pour empêcher une attaque de s’étendre à l’ensemble des fichiers et applications.

Mais pour ce type de structures, cette mise en œuvre n’est pas aisée. Car les TPE et les PME ne disposent généralement pas d’une équipe informatique dédiée, et en particulier, d’une équipe formée à ces spécificités de la sécurité informatique, un domaine qui évolue en permanence et pour lequel il est nécessaire d’effectuer une veille active et assidue.

De la même façon, leur budget pour ce type de problématiques sera inévitablement limité, tant du point de vue du matériel que des compétences, des conseils et des services.

Comment rationaliser la sécurité informatique pour les PME

Ainsi, il est possible d’identifier un certain nombre de mesures que les PME et les TPE peuvent prendre pour rationaliser leur sécurité informatique tout en essayant de conserver des coûts correspondants à leurs moyens :

• Tout d’abord, une bonne compréhension du système d’information est nécessaire pour identifier les points faibles. Un audit réalisé par une société informatique externe sera un bon point de départ pour déterminer les différents points de vigilance.
• La formation du personnel aux problématiques de sécurité est absolument indispensable. Parce que le risque humain est une des failles principales dans les affaires de cybersécurité, la mise en place d’une politique de sécurité compréhensible par tous permet de faire comprendre aux collaborateurs les risques qu’ils peuvent faire courir à leur entreprise.
• La mise en place de protocoles définissant les responsabilités de chacun permet aux entreprises d’apprendre comment réagir rapidement et efficacement en cas d’attaque.

Au-delà de ces bonnes pratiques, ce qui va permettre aux TPE et aux PME de mettre en œuvre la sécurité informatique d’une façon simple et économique au sein de l’entreprise, c’est le recours à l’informatique en tant que service. Délocaliser ses données, les confier à un hébergeur professionnel, ou encore utiliser le Cloud vont être tout autant de moyens de disposer d’infrastructures protégées et de compétences expertes en matière de sécurité informatique.

Ainsi, les problèmes de cybersécurité peuvent toucher tous les types d’entreprises, de toutes les tailles, et causer de nombreux dégâts, à la fois sur le plan économique, mais aussi sur le plan de la notoriété.

Parce qu’il en va de la survie de l’entreprise, il est nécessaire aujourd’hui de considérer la mise en place d’une politique de sécurité informatique, même pour une TPE ou une PME. Ces entreprises pourront mettre en œuvre un certain nombre de précautions leur permettant d’anticiper sur les éventuelles menaces et de les limiter.

Mais surtout, il s’agira pour elles de trouver un moyen de disposer de compétences et de matériel sécurisant. C’est dans ce contexte que l’informatique en tant que service s’impose comme un moyen privilégié de fournir une sécurité informatique à des coûts abordables. Pour en savoir plus, n’hésitez pas à consulter notre offre de service en la matière, notamment notre nouvelle offre en audit de sécurité informatique.