TPE et PME : comment les protéger face aux menaces cyber ?

Moins de 2000 euros par an. C’est le budget maximum qu’estiment pouvoir consacrer à leur cybersécurité 68 % des TPE et PME, selon l’étude ImpactCyber menée par Cybermalveillance.gouv.fr. Elles sont aussi 78 % à se considérer comme non préparées à affronter une cyberattaque. Un manque de budget qui aggrave la pénurie d’outils, de process et de compétences touchant les TPE et PME, qui sont plus de 50 % à ignorer si leur équipement cyber est adéquat…

Autant de carences qui rendent le tissu économique français particulièrement vulnérable, et qui font craindre un scénario catastrophe à la NotPetya, condamnant le pays à la paralysie. Et pour cause : on compte plus de 159 000 PME et près de 4,5 millions de TPE en France, observait l’INSEE lors de son dernier recensement en 2019. C’est pourquoi de nombreuses ressources ont été mises à leur disposition par les pouvoirs publics, que ce soient les guides et le mooc SenCy-Crise de Cybermalveillance.gouv.fr, ou bien encore le guide dédié de l’ANSSI et les ressources mises à disposition par la BPI dans le cadre de France 2030. 

Les coûts humains et financiers des cyberattaques 

Aider les TPE et les PME à se protéger et à prioriser leurs démarches était tout le sujet de la table-ronde du Cloud Security Forum animée par Fabrice Frossard et qui rassemblait Cyril Bras (Whaller), Christophe Hennequin (LOB), Jérémy de Cock (Cyberzen) et Yrieix Denis (Alyghieri). Le premier enjeu soulevé concernait le coût des cyberattaques.

Difficile à évaluer, parce qu’il recouvre des situations très différentes et que l’information n’est pas toujours disponible, le coût moyen d’une cyberattaque « réussie » était estimé à environ 60 000 euros en 2023 (pour un coût total de 2 milliards d’euros en France), selon une étude du Cabinet Asteres. Une statistique qui ne doit pas oblitérer le vécu réel des victimes : « le coût financier est à mettre en regard avec le coût humain et psychologique des cyberattaques, qui est très lourd pour les organisations », insistait en effet Jérémy de Cock. Un coût si élevé qu’une association s’est engagée à accompagner les victimes, qui restent marqués par des traumatismes, des syndromes d’épuisement et de burnout. 

Comment prioriser ses actions de sécurisation ?

Protéger son organisation contre de tels dégâts exige une stratégie rigoureuse. « La première démarche à réaliserest une cartographie. C’est incontournable », témoignait Christophe Hennequin. Rendue obligatoire pour plus de 30 000 entreprises et collectivités en France par la directive NIS2, la cartographie des systèmes d’information est une démarche aussi indispensable qu’exigeante. Elle consiste en effet à réaliser « l’inventaire devices, des serveurs, qu’ils soient on-premise ou dans le cloud ; à déterminer les flux réseau ainsi que les infrastructures physiques et logiques », résume l’équipe de Cyberun.

Cet exercice de cartographie est aussi un préalable nécessaire à une mise en conformité au RGPD. En effet, la CNIL exhorte les entreprises et les acteurs publics à cartographier « les traitements de données personnelles mis en œuvre », afin de pouvoir tenir « un registre des traitements » des données de ses clients et de ses employés. Cet inventaire exhaustif permet ainsi d’identifier les actifs d’une entreprise, de les classer en fonction de leur criticité et d’établir ensuite une cartographie des risques associés. C’est seulement sur cette double fondation que peut s’établir une stratégie de cybersécurité efficiente et pérenne, estiment la plupart des spécialistes.

Une hygiène cyber minimale à portée de tous

Se pose ensuite la question du socle de protection minimal. « On peut le trouver dans le cahier des clauses simplifiées de cybersécurité publié par le Journal officiel », indiquait Cyril Bras, « qui recoupe les 42 mesures d’hygiène établies par l’ANSSI . Ces mesures permettent de garantir les 4 grands objectifs de la sécurité informatique : l’intégrité, la confidentialité, la disponibilité et la traçabilité des données », poursuivait le directeur cybersécurité de Whaller.  

L’ANSSI propose ainsi un guide pour aborder ces enjeux en 13 questions, qui permettent de faire un premier état des lieux des enjeux et des solutions à apporter. De façon générale, le socle minimum de cybersécurité d’une organisation repose toujours sur les mêmes incontournables : « la gestion rigoureuse des droits utilisateurs et administrateurs ainsi que des mots de passe et de l’authentification multifacteurs, le chiffrement des données, la segmentation des réseaux internes et externes, la politique des sauvegardes, la mise à jour des logiciels et des solutions antivirus… », résumait de son côté Yrieix Denis. 

Une nouvelle offre de services dédiée aux TPE et PME

Pénalisées par leur budget, les petites et moyennes entreprises souffrent en outre de ne pas avoir d’experts en interne et de dépendre donc, pour 80 % d’entre elles, d’un prestataire externe. Le choix de celui-ci s’avère donc crucial pour aider les dirigeants et leurs équipes à « identifier, protéger, détecter, répondre et récupérer » après une cyberattaque, pour citer le cadre de cybersécurité du National Institute of Standards and Technology (NIST). 
De nombreuses entreprises proposent donc aujourd’hui une offre spécialement dédiée aux TPE et aux PME, à l’image du « bouclier de cybersécurité » de Docaposte ou encore de la solution Égide qui promet de protéger les petites entreprises « avec le même niveau de cybersécurité qu’une grande entreprise ». Autant de solutions et de prestataires que les dirigeants, les DSI et les RSSI des TPE et PME peuvent retrouver sur la plateforme ExpertCyber mise en place par Cybermalveillance.