Alors que le nombre de cyberattaques croît chaque année en France, les TPE sont plus que jamais une cible privilégiée. Dès lors, la question n’est plus de savoir si vous allez être victime de cybercriminalité, mais comment améliorer votre résilience, c’est-à-dire minimiser l’impact sur vos activités, lorsque cela arrivera.
41 % des entreprises françaises de moins de 50 salariés ont déjà subi
une cyberattaque, c’est ce que révélait en janvier dernier une
étude de la CPME sur la cyber-sécurité des TPE. Pour autant, les petites structures ne sont pas suffisamment armées contre ce risque, essentiellement en raison de leurs
contraintes financières. Cette contrainte engendre un cercle vicieux puisque, en étant moins bien protégées, elles sont de fait plus vulnérables et plus susceptibles d’être attaquées et donc de perdre des ressources financières… Cela est particulièrement vrai si elles n’ont pas anticipé le meilleur moyen de « se remettre » rapidement et efficacement de ces attaques. Bonne nouvelle, rendre votre entreprise
cyber-résiliente peut passer par des actions simples qui ne nécessitent pas forcément un budget très important. En voici 5.
1. Identifier les menaces
On ne peut pas combattre ce qu’on ne connaît pas. Réaliser une
cartographie des risques est donc indispensable. Mais avant d’engager
une mission d’audit qui peut paraître complexe ou coûteuse, une discussion avec
votre prestataire informatique peut déjà permettre d’identifier et formaliser
la liste des points faibles de votre organisation. La plateforme gouvernementale
www.cybermalveillance.gouv.fr/ vous permet d’établir un diagnostic précis de votre
cyber-sécurité, propose de nombreuses ressources et conseils, et sert aussi à signaler une attaque. Enfin, ce travail de diagnostic est aussi l’occasion d’envisager de souscrire
une assurance contre les attaques informatiques : seules 14 % des TPE en ont une (contre 23 % pour les PME).
2. Réaliser votre PCA (plan de continuité d’activité) informatique
L’idée est de répondre le plus précisément possible à la question « que devons-nous faire en cas d’attaque ? ». Le coût de la
cybercriminalité pour les entreprises est lié à la perturbation du service, à
la perte de données, mais aussi à la perte de confiance auprès des clients. Interrogez ces différentes dimensions. Quels sont
vos systèmes de sauvegarde (pour 68 % des petites entreprises, le principal outil est une clé USB ou un disque dur externe) ? Votre prestataire informatique s’engage-t-il sur des
délais d’intervention ? Que dire aux clients en cas d’attaque ? Faites de ce PCA un projet interne qui rassemble tous vos collaborateurs, cela augmentera leur engagement ainsi que la pertinence des solutions proposées.
3. Effectuez régulièrement des tests d’intrusion
Certaines attaques ont des effets mineurs, parfois invisibles, mais qui affectent néanmoins la robustesse du système et, d’une certaine manière, « préparent » l’attaque suivante. Les 4 accès à surveiller en priorité sont
l’entrée du réseau, la navigation, le poste de travail et le Cloud pour les applications. En testant la solidité des « murs » digitaux de votre entreprise -votre
cyber-sécurité-, vous pourrez mieux encadrer des pratiques à risques telles que
la mise à jour des systèmes d’exploitation et applications,
la sauvegarde des données, l’usage de clés USB, l’ouverture des pièces-jointes dans un email, ou encore l’utilisation de réseau WiFi gratuits.
4. Formez votre équipe !
On ne le dira jamais assez,
le facteur humain est le maillon faible, la plus grande vulnérabilité digitale d’une entreprise. D’ailleurs, les attaques visant les personnes (phishing, ransomwares, ingénierie sociale) ont connu la plus forte augmentation en 2018 (
source : Accenture). Pour que l’ensemble des collaborateurs soient sensibilisés et que
votre cyber-sécurité – en préventif, mais aussi en termes de réflexes à adopter en cas d’attaque – devienne l’affaire de tous, n’hésitez plus à organiser des sessions de formation : 44 % des entreprises de moins de 50 salariés le font au moins une fois par an. Si votre structure est très petite, vous pouvez
mutualiser ce coût avec une autre entreprise !
5. Parlez cyber-résilience à la machine à café…
La cyber-résilience doit être un enjeu prioritaire, porté par le chef d’entreprise, et néanmoins partagé par tous. Au lieu de mettre en place des processus lourds et des réunions interminables, discutez-en régulièrement, de manière informelle, avec les collaborateurs que vous croisez. Cela permet de savoir et de faire savoir, par exemple, que 3 appels téléphoniques suspects (« fraude au président ») ont été enregistrés la semaine dernière, ou qu’une clé USB contenant des données sensibles a été perdue…
