Les PME face au risque de la cybercriminalité



Jeudi 27 Juin 2013


La cybercriminalité est une menace bien actuelle, face à laquelle les grandes entreprises, mais aussi les entreprises intermédiaires et moyennes sont confrontées. Parfois bien loin de posséder une stratégie correspondant à l’ampleur de la menace, les PME se retrouvent bien plus vulnérables que les entreprises de plus grande taille. Ce sont pourtant elles qui en souffrent le plus.



De réels dangers aujourd’hui « professionnalisés »

Les objectifs des cybercriminels sont divers et variés. Ils peuvent cibler une liste de courriel, les plans d’une machine, récupérer des informations sur une réponse à un appel d’offres ou tout simplement perturber le fonctionnement de machines-outils et ainsi altérer la production d’une PME. Les attaques et les intrusions sont diverses et les causes le sont encore plus. Il existe une multitude de pirates, de « hackers » qui scrutent sur Internet les failles exploitables. Du particulier qui souhaite, par défi, s’introduire dans la base de données d’un grand groupe et qui publie, pour accéder à une quelconque reconnaissance (même anonyme), les données auxquelles il a eu accès, jusqu’à l’unité dirigée par un État qui vient espionner les entreprises, les sites des ministères, ou tout objet qui peut avoir une consistance et une valeur ajoutée, la diversité de ces actions est fonction de la masse de « data » exploitable dont Internet regorge.
 
Mais si les grandes entreprises, à l’instar des organismes étatiques, optent pour des protections accrues, elles ne sont en principe que faiblement impactées lors d’attaques, du fait de leur inertie. En revanche, les PME sont bien plus vulnérables aux cyberattaques. Prenons un exemple : une PME répond à un appel d’offres qui pourrait lui fournir l’assurance d’une production sur deux ans. Une entreprise concurrente souhaite elle aussi répondre à cette offre, mais veut s’assurer de remporter le contrat. Elle commande alors une cyberattaque afin de récupérer le montant de l’offre de la première PME et, les documents en main, propose une meilleure offre, légèrement en dessous de la première. Le marché est alors remporté par le concurrent. Si ce cas n’est pas d’une violence extrême, il en existe d’autres biens plus graves. Le vol de données ou leur effacement constituent déjà deux perspectives bien plus négatives. L’efficacité des entreprises s’est accrue avec les avancées des réseaux, mais cela a en même temps esquissé de nouvelles opportunités aux cybercriminels qui, avant amateurs, sont aujourd’hui pour un bon nombre d’entre eux, des professionnels entraînés.
 
Depuis 25 ans, depuis la démocratisation d’Internet, la société s’est largement connectée aux réseaux. Une connexion qui suppose aussi une protection. Le virtuel, est encore trop souvent considéré comme un monde immatériel, et donc dépourvu de dangerosité. Or, il très relié au monde physique et peut être encore plus dangereux que le monde matériel, car en ce lieu, aucune protection n’est à 100 % inviolable.

Une vulnérabilité accrue pour les PME

Puisque l’univers de la cybercriminalité s’est professionnalisé et est entré dans une logique de rentabilité, il s’est établi un comparatif rapport qualité/prix. Aux amateurs pour la plupart étudiants des débuts du hacking, cherchant à pénétrer les sites des grandes entreprises et les sites étatiques par défi, se sont substitués des professionnels qui cherchent la rentabilité au profit du moindre effort. Dans cette logique économique, les hackers ciblent en priorité les proies faciles, à savoir les PME et TPE. Ce constat est d’ailleurs en évolution. Selon un rapport publié en avril 2013 par la société américaine de sécurité informatique Symantec, 31 % des cyberattaques ont été produites à l’encontre des PME de moins de 250 salariés en 2012, contre 18 % en 2011. En outre, les attaques ciblées ont augmenté de 42 % dans le monde. Une perspective qui risque de croitre, car pour survivre dans un monde globalisé, ces entreprises se voient dans l’obligation de s’ouvrir au monde extérieur afin de rester compétitif. Mais alors, comment lutter, et de manière efficace, contre ces attaques qui ont chaque jour un poids de plus en plus important sur l’économie ?

Pour se protéger de manière efficace, il s’agit avant tout de déterminer les cibles prioritaires des pirates. Car, contrairement à ce que l’on pourrait penser, il ne s’agit pas des « têtes » de l’entreprise, mais davantage du personnel qui détient des informations clefs comme le personnel lié au capital informationnel ou les employés commerciaux. Ce sont les personnes qui sont en relation avec tout ce qui peut être stratégique pour une entreprise. Les brevets, le business model, les organigrammes, autant de données que les hackers cherchent à dérober. Au-delà d’un bon système de protection informatique (qu’il ne faut pas hésiter à continuellement renouveler), il s’agit de renseigner le personnel sur les risques, de mettre en place des formations sur le bon usage et les bonnes pratiques à intégrer dans le quotidien des gestes, puisque le quotidien de l’entreprise est lié à l’informatique. Un exemple simple : ne pas brancher de clef USB extérieure à la société sur une machine. Ou bien encore, dans le même domaine : ne pas utiliser les clefs USB « cadeaux » reçues lors de salon, de présentations, etc. Celles-ci pouvant contenir des programmes malintentionnés visant à récupérer des informations.
 
Mettre l’accent sur le capital humain est une des réponses efficaces et à moindre coût, à la cybercriminalité. Car l’exploitation des failles humaines, caractérisée par le terme anglo-saxon de « social engineering » et qui vise à cibler les personnes clefs de l’entreprise, est une pratique de plus en plus utilisée. Redoutable et efficace, elle permet aux pirates d’entrer par malveillance dans les réseaux internes des entreprises grâce à la négligence humaine (communication d’une adresse courriel en réponse à un courriel, communication d’un plan stratégique en réponse à un courriel utilisant le même nom qu’un dirigeant, les exemples sont presque inépuisables). Face à la cybercriminalité donc, la protection informatique est un premier pas. Cependant, il est nécessaire d’adopter une posture visant à informer le personnel des risques qu’induisent de tels actes.

Arthur Fournier