Cybersécurité et PME, un sujet qui revient souvent sur la table des dirigeant·es d’entreprise. La cybersécurité occupe aujourd’hui une place cruciale au sein des organisations, qui voient le nombre d’attaque se multiplier et leurs cibles se diversifier : les PME ne sont bien entendu pas épargnées, comme le montrent les dernières statistiques.

Lors de notre dernier webinar « Comment sécuriser votre système d’information avec Microsoft Defender for Business », notre expert Antoine Loreau, consultant avant-vente, et Julien Guellec, architecte cybersécurité chez Microsoft, ont notamment analysé les risques de cyberattaques qui pèsent sur les entreprises et les conséquences pour ces dernières.

Un niveau de menace qui reste élevé

Les cybermenaces sont restées fortes contre les organisations en 2022 et ont particulièrement touché les TPE, PME et ETI. Selon les chiffres de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), « 40 % des rançongiciels traités ou rapportés à l’ANSSI en 2022 » concernaient ces types de structures, 23% les collectivités territoriales et 10% pour les établissements publics de santé.

Même si l’ANSSI constate une baisse du nombre d’intrusions avérées en 2022 (831 contre 1082 en 2021), l’agence note toutefois dans son Panorama de la cybermenace 2022, qu’il serait erroné de conclure à une baisse globale du niveau de cybermenace. Les cybercriminel·les se déportent en réalité sur les entités les moins bien protégées.

Cybersécurité et PME. Diagramme : les PME, TPE et ETI représentent 40% des victimes de compromissions par rançongiciel en 2022 (50% en 2021). Les collectivités territoriales 23% en 2022 (19% en 2021). Les établissements publics de santé 10% en 2022 (7% en 2021).

À noter, ces chiffres ne concernent que les attaques signalées à l’ANSSI et ne sauraient refléter l’ensemble des cas rencontrés par les organisations en France. Enfin, les attaques par rançongiciel ont connu un regain d’activité à partir de septembre 2022, augurant ainsi une année 2023 sous le signe du renforcement de la sécurisation des systèmes d’information pour les organisations.

Définir et comprendre la cybersécurité

Quoi protéger et contre quoi ?

Une première étape pour sécuriser son système d’informatique est tout d’abord de comprendre ce qu’est la cybersécurité et les pans du SI qu’elle concerne, ainsi que tous les autres facteurs externes.

Microsoft définit la cybersécurité comme « la protection de [ses] informations numériques, appareils et ressources ». Il s’agit ainsi de protéger :

  • Les données, où qu’elles soient stockées et quel que soit leur type (informations personnelles, comptes, documents, images, etc.)
  • Les périphériques qui les stockent et qui y accèdent
  • Les applications et solutions déployées au sein de l’entreprise

La cybersécurité repose également sur trois piliers essentiels :

  • La confidentialité des données avec un accès se limitant aux personnes autorisées uniquement
  • L’intégrité des données : elles ne doivent pas avoir été corrompues, tronquées ou modifiées sans autorisation
  • L’accès ou la disponibilité du système, des réseaux et des informations pour les personnes autorisées

Microsoft offre également une autre définition, qui s’attache cette fois-ci à se focaliser sur les mesures que les entreprises peuvent déployer pour assurer la protection de leur système d’information :

« La cybersécurité est un ensemble de processus, de meilleures pratiques et de solutions technologiques qui contribuent à protéger vos systèmes critiques et votre réseau contre les attaques numériques. »

Qu’est-ce que la cybersécurité ?, Microsoft

Rendre la sécurité intelligible

Au-delà de la définition de base de la cybersécurité, ce sont de nombreux autres concepts qui viennent souvent et malheureusement semer le trouble au sein des DSI. Une enquête de Kaspersky parue en janvier 2023 sur les obstacles linguistiques en matière de cybersécurité donne à voir des chiffres à la fois compréhensibles et inquiétants :

« 38 % de toutes les personnes interrogées, et 44 % des Français, ont déclaré que les termes de base de la cybersécurité (malware, phishing et ransomware) sont confus à leurs yeux. Les termes un peu plus techniques tels que “Exploits Zero Day” et “Suricata rules” ont suscité des niveaux de confusion similaires, avec 39 % des personnes interrogées, et près d’un dirigeant français sur deux, affirmant ne pas pleinement comprendre ces termes. »

Séparés par un langage commun : Une étude Kaspersky révèle que les dirigeants d’entreprise ne comprennent pas le langage de la cybersécurité, Kaspersky

Cette étude montre ainsi que le jargon de la cybersécurité, très anglicisé, fait partie des freins à la priorisation de la cybersécurité, notamment dans les réunions de conseils d’administration des grands groupes, quand bien même 99% des cadres dirigeant·es sont au fait des menaces qui pèsent sur leur entreprise.

Difficile alors de prendre les mesures qui s’imposent quand la compréhension-même du sujet pose un problème.

On ne peut ainsi que penser à cette phrase de Guillaume Poupart, ancien directeur général de l’ANSSI :

« Il faut rendre la sécurité numérique sexy, c’est-à-dire compréhensible et mettre dans la tête de nos dirigeants que ce n’est pas un mal nécessaire mais absolument indispensable pour le développement de l’entreprise »​

Citation de Guillaume Poupart, ancien directeur général de l'ANSSl

À lire également – Comprendre la kill chain pour protéger efficacement son SI

Les entreprises face à un nouveau paradigme de sécurité : gérer le risque

Si la cybersécurité pose autant problème aux décisionnaires, c’est aussi qu’elle a bien évolué ces dernières années. Tandis qu’avant la stratégie traditionnelle pour protéger son SI consistait à en empêcher à tout prix l’accès en érigeant ses outils de sécurité autour de son système d’information, à la manière d’un château-fort, c’est avec un nouveau paradigme que les organisations doivent aujourd’hui composer, comme l’explique notre consultant avant-vente sécurité, Antoine Loreau :

« Avant, vous construisiez des douves de plus en plus profondes, vous mettiez des murs de plus en plus hauts. Tout ce qu’il y a à l’intérieur de votre château, c’est votre système d’information ou vos datacenters, vos réseaux, vos collaborateurs, vos équipements. Ce n’est pas parce que j’ai mon réseau, mes applicatifs qui sont sécurisés, qu’il faut cependant oublier les appareils mobiles et systèmes électroniques qui pourraient être assez associés à ce système d’information. Il s’agit en réalité d’un écosystème global au sein d’une organisation, qui comprend à la fois sur des choses que vous, en tant que DSI, maîtrisez pleinement, comme vos données internes, mais également tous les systèmes et toutes les personnes qui pourraient graviter autour de cet écosystème. Le nouveau paradigme que l’on doit apprendre aujourd’hui, c’est que toutes les organisations vont ou se sont déjà fait attaquer et qu’il est impossible de parer à l’ensemble des attaques. »

Webinaire « Comment sécuriser votre système d'information avec Microsoft Defender for Business », Blue Soft Empower

Ce nouveau paradigme induit alors une nouvelle stratégie de cybersécurité fondée sur le risque et dont le but est d’atténuer au maximum le risque : le Zero Trust ou Confiance Zéro. Il s’agit donc pour les organisations et notamment les PME, tout d’abord, d’accepter la brèche et le fait d’être à un moment donné attaquées ; il s’agit ensuite de déployer les outils de cybersécurité nécessaires afin d’atténuer les fuites de données possibles ou encore de réduire le temps de détection d’une attaque. L’idée est donc, de consolider l’intégralité de la sécurité du système d’information de l’entreprise.

À lire également – Pourquoi appliquer le « Zero Trust » pour votre sécurité informatique ?

Des menaces qui évoluent et des infrastructures plus complexes

Si le paradigme évolue, c’est notamment parce que les méthodes d’attaque se sont aussi sophistiquées. En constante évolution, le panel des menaces en matière de cybersécurité utilisées par les cybercriminel·les s’est élargi : les attaques par hameçonnage, les logiciels malveillants avancés, les ransomwares, les attaques par déni de service distribué (DDoS), l’exploitation de vulnérabilités logicielles, le ciblage d’équipements périphériques ou de solutions de virtualisation, sont autant de types d’attaque qui continuent de percer les défenses des entreprises.

Un autre paramètre qui est venu également induire le changement de paradigme précédemment décrit, c’est la complexification des infrastructures. L’avènement du cloud et les partenariats transverses entre les organisations sont venus créer de nouvelles surfaces d’attaque exploitables par les cybercriminel·les.

Enfin, une nouvelle venue fait aussi bouger les lignes : l’intelligence artificielle. Si elle a su trouver sa place dans les outils de cybersécurité ultraperformant comme le SIEM Azure Sentinel, sa démocratisation a toutefois permis de doper les capacités des cyberattaquant·es : recherche et exploitation de failles de sécurité, recoupement d’informations personnelles pour retrouver des mots de passe, conception de rançongiciels (ransomwares) ou encore de deepfakes.

À lire également – Sauvegarde des données Microsoft 365 : Barracuda vs Veeam, que choisir ?

Cybersécurité et PME : des attaques aux conséquences lourdes

Les objectifs des cyberattaquant·es restent plus ou moins les mêmes au fil des ans :

  • S’enrichir, c’est là que l’on retrouve nos fameux rançongiciels.
  • Espionner, en ciblant des entreprises partenaires, des sous-traitants (fournisseur spécialisé du secteur de la défense, par exemple) d’organisations stratégiques.
  • Déstabiliser, principalement des institutions, et notamment dans un contexte de conflit russo-ukrainien, avec un alignement des intérêts de groupes cybercriminels avec ceux de l’un ou l’autre des partis en guerre.

Fuite de données, revente et extorsion

Pour les entreprises touchées, une cyberattaque, notamment par rançongiciel, peut entraîner des conséquences dévastatrices.

Parmi les conséquences notables, la fuite de données. En fonction de leur nature, ces données pourront être revendues sur le dark web ou mener à une opération d’extorsion de fonds, liée par exemple à un cryptolocker : une fois les données cryptées, l’organisation victime ne pourra potentiellement obtenir la clé de déchiffrement qu’après avoir payé une rançon.

À lire également – Comment protéger un poste de travail ? Fuite de donnée et extorsion de fonds

Bien qu’il soit couramment recommandé de ne pas se soumettre à ce type de chantage, certaines entreprises peuvent choisir de payer la rançon demandée afin de retrouver leurs données. Premièrement, ce paiement ne saurait être une garantie viable d’une conclusion heureuse, la bonne foi de cybercriminel·les pouvant être plutôt questionnable. Deuxièmement, accepter de payer une rançon envoie aussi un signal fort aux cyberattaquant·es : cette organisation est prête à payer, alors pourquoi ne pas y retourner ?

Une crise de confiance plus ou moins durable

Enfin, une conséquence, cette fois-ci secondaire, est la réputation de l’entreprise qui a été attaquée. Les client·es d’une entreprise qui a subi une fuite de données seront plus susceptibles de se tourner vers d’autres prestataires, par manque de confiance. Couplée à la période d’inactivité ou d’activité réduite induite par la cyberattaque, cette crise de confiance qui pourra durer plus ou moins longtemps en fonction de la stratégie de l’entreprise et générera ainsi un manque à gagner pour une entreprise déjà affaiblie.

Vous avez besoin d’améliorer la sécurité de votre système d’information ?

Contactez nos expert·es, posez leur toutes vos questions et trouvez les solutions qui vous conviennent.

Partagez l'article !