Le risque cyber, une menace maximale pour les PME

Dans le « Guide des bonnes pratiques de l’informatique » publié en 2017 par l’Anssi et la CPME (Confédération générale du patronat des petites et moyennes entreprises), l’ancien directeur général de l’Anssi, Guillaume Poupard, rappelle que le risque cyber représente un danger plus important pour les PME que pour les grandes structures. Ces premières sont en effet mal armées pour y faire face.

« La complexité des menaces, le coût, le manque de personnel et de temps, sont autant d’arguments pour justifier un moindre intérêt porté à la sécurité informatique. […] Je n’oublie pas qu’elles constituent 90% des entreprises françaises », a affirmé Guillaume Poupard. Ces mêmes entreprises irriguent directement le tissu économique en étant sous-traitantes de grands groupes qui peuvent être touchés par ricochet.

69% des PME pensent qu’elles ne peuvent pas se faire cyberattaquer

Un sondage mené en octobre 2022 par l’Ifop auprès de 400 dirigeants de PME pour le compte de Stoïk, un assureur du risque cyber pour les PME fondé en 2021, donne, entre inquiétude réaliste et politique de l’autruche, les chiffres suivants : 67% des PME estiment avoir déjà fait face au risque cyber, et 58% des PME ayant déjà subi une attaque craignent de se faire attaquer de nouveau. Mais 69% des PME sondées pensent qu’elles ne peuvent pas être la cible de pirates informatiques, et 89% se sentent bien protégées.

« Les PME sont globalement plus conscientes du risque cyber, mais ne savent pas vraiment ce qu’il recouvre et les dommages qui peuvent en découler, notamment sur leur activité », Jules Veyrat, co-fondateur de Stoïk, argumente Jules Veyrat, co-fondateur de Stoïk.

Un risque encore mystérieux

Un constat partagé par Pascal Rey, chef d’entreprise, président de la CPME pour la Haute- Savoie : « Le quotidien des dirigeants de PME, c’est de relancer et de développer l’activité quotidienne, surtout après deux ans de pandémie. La priorité reste de gagner de l’argent. […] J’entends souvent de la part de mes collègues ayant subi une attaque que, du coup ça ne risque pas de se reproduire. J’ai beau essayer de leur expliquer qu’une fois que les pirates ont repéré une porte d’entrée ouverte dans leur système informatique, elle sera difficile à refermer sans les bonnes mesures, ils ne le comprennent pas forcément. »

Toujours selon le sondage Ifop/Stoïk, 11% des PME interrogées ont subi une cyberattaque, dont 4% au cours des douze derniers mois. Ce chiffre peut paraitre peu élevé, mais il ne faut pas oublier que lorsqu’une PME se fait attaquer, c’est souvent la survie de l’entreprise qui est en jeu, et, par effet de cascade, celle de toute une chaine économique dans son ensemble.

L’histoire de la société Clestra, ETI comptant 400 salariés, en est l’illustration : « Dans la nuit du 30 avril au 1^er mai 2022, notre responsable informatique se connecte au système d’information via son VPN, et constate qu’il ne peut plus y accéder. Nous venions d’être attaqués par le ransomware LockBit, avec une demande de rançon de plusieurs millions d’euros. J’ai cru pendant quelques heures le système pouvait être restauré, avant que je comprenne que c’était vraiment méchant », explique Vincent Paul-Petit, l’ancien directeur.

« J’ai déposé plainte dans la semaine, été très vite épaulé par la gendarmerie. Les gendarmes ont rapidement pensé qu’il y avait un objectif de mise à mort économique de l’entreprise, sans doute pour des raisons géopolitiques. Nous n’avions plus aucune donnée, plus de possibilité de faire la paie, de facturer les clients, l’état des stocks, les plans des chantiers en cours numérisés étaient inaccessibles », poursuit-t-il.

En septembre 2022, Clestra est mise en dépôt de bilan. Un nouvel actionnaire est arrivé, a constitué une nouvelle équipe de direction, et n’a pu reprendre que 80% du personnel.

Garder une intelligence du métier de l’entreprise en cas d’attaque

Vincent Paul-Petit témoigne pour que « cela serve d’exemple » et en tire des leçons immédiates. « Dans un cas comme ça, il faut anticiper la manière de reprendre l’activité au jour N+ 1 de l’attaque. Envisager des processus dégradés, sans informatique, pour continuer, à tout prix, l’activité. Il faut renseigner les processus métiers, garder une intelligence de ce que l’on fait », explique-t-il.

De son côté, Pascal Rey prévient que payer une rançon en bitcoin pour avoir la paix (ce qui reste formellement déconseillé par les autorités), n’est ni une garantie de retrouver ses données ni une pratique très transparente pour l’Urssaf ou le fisc. « Quelle est la preuve qu’ont les agents de l’État, quand on paye en bitcoins, que c’est vraiment une demande de rançon d’un groupe de pirates [informatiques] et pas une transaction frauduleuse avec quelqu’un de son cercle proche en cas de contrôle ? », s’interroge-t-il.

« Bonne question à laquelle il n’y a qu’une seule réponse. Déposer plainte pour prouver qu’on est une victime, et tenter de remonter à la source de l’attaque. Et surtout, sensibiliser », renchérit le Major Michaël Hourlier, du groupement de Gendarmerie du Finistère. « Par notre maillage territorial, nous sommes en prise avec la réalité économique du pays, et on constate tous les jours les ravages de cette cybercriminalité sur les petites entreprises », poursuit-il.