Que peuvent faire les PME en cas de cyberattaque ?
Interview Dans le cadre des Assises de la sécurité à Monaco, Jérôme Saiz, conseiller en protection des entreprises évoque le sujet des PME, pas moins (cyber)attaquées que les grosses sociétés
La cybersécurité des petites et moyennes entreprises est souvent un sujet oublié. Délaissé par leurs dirigeants. Beaucoup pensent, à tort, qu’elles sont trop petites, inintéressantes donc, pour être la cible d’une cyberattaque. Pourtant, chaque année, des milliers de PME font l’objet d’offensives destructrices, les contraignant parfois à baisser le rideau métallique. Souvent par des Rançongiciel qui subtilisent des données et ne les redonnent que moyennant de l’argent. À moins qu’elles soient revendues sur le dark web. Jérôme Saiz, conseil en protection des entreprises pour Opfor Intelligence et présent aux Assises de la sécurité à Monaco, livre son analyse sur le sujet.
Une petite/moyenne entreprise est-elle plus vulnérable qu’une société du CAC ? Toutes les entreprises sont vulnérables. Là où on va voir la différence, c’est sur l’impact financier. Il peut être dévastateur pour elles et en contraindre certaines à mettre la clef sous la porte. Les grandes entreprises le sentent moins souvent dans la trésorerie. Des chiffres prouvent que les petites entreprises sont un peu plus victimes du fléau absolu : les e-mails frauduleux. Beaucoup d’attaques passent par là.
De quel type, par exemple ? L’essentiel va être des escroqueries : fraudes au président, fraudes aux fournisseurs avec un objectif clair : vider la trésorerie tout en
passant en dessous du radar de la banque. Tout cela à partir de mails piratés. Le mail est vecteur de cyberattaques, il est vraiment le point focal des escroqueries et des pertes financières. Ensuite, il y a les Rançongiciel (prise en otage des données contre une somme d’argent, N.D.L.R.). Les petites entreprises sont excessivement touchées, car elles ont généralement un réseau qui est complètement à plat.
Tous les employés travaillent sur le même réseau, alors que dans les grandes sociétés, il y a des barrières, des garde-fous entre ces réseaux.
N’y a-t-il pas un manque de culture de la cybersécurité dans les PME ? Il en manque, bien sûr. D’une part parce que les petites entreprises ont généralement la tête dans le guidon. Il faut travailler, produire, facturer. L’important, c’est de répondre aux clients pas de prendre le recul et de penser à sa cybersécurité. C’est secondaire. Ensuite, il y a un manque de compétences. La cybersécurité n’est pourtant pas très compliquée dans les premiers éléments à mettre en place : beaucoup de bon sens et un peu de culture informatique. On fait beaucoup de sensibilisation, on développe des jeux pour les salariés car cela les marque plus. On les met en situation de crise. Dans les grands groupes, il y a des posters sur les murs pour parler des dangers, sensibiliser aux bons gestes.
Quels sont vos conseils aux entreprises ? D’abord, il faut convaincre le dirigeant ou le fondateur de la société que la cybersécurité est importante. On met en place un premier audit flash, peu coûteux, qui permet à un oeil expert de balayer les difficultés dans la société. C’est un audit des mauvaises habitudes. Quel est le niveau de l’informatique? Est-ce que tous les postes de travail sont à jour et protégés ? Est-ce qu’on peut avoir accès au réseau n’importe où ? Est-ce que leurs salariés laissent leur session ouverte le temps du midi ? En ne verrouillant pas les écrans, on peut télécharger un logiciel malveillant conçu sur mesure, a priori pas détectable par les antivirus, l’installer, et prendre ensuite le contrôle du réseau. On regarde si les e-mails sont protégés, on voit les problématiques d’accès au bureau. Bien souvent, il n’y a pas de formation du personnel à la notion d’accueil et d’accompagnement. Une entreprise peut avoir la meilleure cybersécurité du monde et laisser entrer quelqu’un qui va brancher un ordinateur sur une prise réseau. Lors d’un audit dans un cabinet qui avait élevé son niveau de sécurité, une intrusion physique a permis, en vingt minutes, d’intercepter toutes les communications téléphoniques du cabinet, y compris celle du fondateur. C’est de l’éducation. Il faut créer des badges différents pour les employés et les visiteurs, inscrire les visites à l’accueil, qu’une personne soit garante des allées et venues. Après, si on veut aller au plus rapide et au moins cher, on met tout à jour, on segmente le réseau. Le wifi qu’on offre aux invités ne doit pas être le même que les employés. On investit pour une protection des e-mails, à raison de euros par salarié et par an.
N’est-ce pas trop contraignant financièrement pour ces entreprises qui croulent sous les charges ? Sur un audit d’une semaine qui va coûter moins de euros, on va avoir de vraies et solides préconisations qui vont élever le niveau de sécurité. Et éviter une cyberattaque qui pourrait coûter bien plus cher…