Cybersécurité dans les PME : 20 % de technologie, 80 % de management

mercredi 21 mars 2018

Par Isabelle MAURANGES-DALMAYRAC

article paru sur les échos online rédigé par Léa Dupont

Cybersécurité dans les PME : 20 % de technologie, 80 % de management

LEA DELPONT Le 20/03 à 18:08

Les patrons savent désormais que le piratage informatique peut aussi menacer leurs entreprises. Que faire contre la menace, quand on dispose de peu de moyens ?

L'affaire date de début février : sous prétexte d'une OPA confidentielle en cours, une arnaque au faux président a coûté 400.000 euros à une société de 80 salariés, dans l'Ouest lyonnais. Soit 90 % de ses liquidités, extorquées par le truchement d'e-mails. «  Quelques précautions élémentaires auraient permis de déjouer le piège, comme ne pas utiliser la fonction 'réponse', mais le carnet d'adresses  »,souligne le maréchal des logis Eric Pozzi, qui relate le modus operandi des escrocs devant un parterre de patrons de PME réunis à la préfecture de Lyon  pour une conférence sur la cybersécurité.L'enquêteur évoque une extorsion similaire de 1,2 million d'euros en décembre. Les services judiciaires enregistrent quelques dizaines de plaintes par an en Auvergne-Rhône-Alpes, «  en général quand le préjudice dépasse 100.000 euros  », estime Pascal Brocard, délégué à la sécurité économique à la Direccte. Au-delà des licenciements pour faute (dans 95 % des cas), et des risques de liquidation pour l'entreprise, il déplore «  deux suicides en deux ans  » de salariés ayant servi de cheval de Troie.

Une étude du groupe de recherche SystemX évalue à 50.000 le nombre de  PME victimes d'une cyberattaque l'an dernier en France. «  La moyenne des dommages est de 85.000 euros  », estime Jacky Bourgoin, de Groupama. «  Avec une simple procédure de sauvegarde, un bon firewall et une vraie politique de mots de passe, individuels et changés régulièrement, on éviterait déjà 90 % des problèmes dans les TPE, mais on est loin du compte  », relève Denis-François Roux, du Medef Rhône.

Mauvaises habitudes

Que le mobile soit financier (73 % des attaques selon le baromètre Verizon) ou l'espionnage (21 %), l'attaquant exploite la faiblesse du maillon humain dans le dispositif  : la cybersécurité, c'est 20 % de technologie, 80 % de management, dit l'adage. Or les mauvaises habitudes persistent : promener des clefs USB, partager un compte « administrateur » ou un mot de passe collectif. Sans oublier ceux qui travaillent à la maison, dans le train, avec des ordinateurs et téléphones personnels non sécurisés, sur des wi-fi non protégés... Face au nomadisme, il existe des produits utiles et abordables pour compléter l'arsenal de protection du réseau informatique : le logiciel ZoneCentral (Prim'X) de chiffrage de fichiers, qui se déverrouillent avec un simple code d'accès. Ou l'application SquareWay de cryptage des échanges (e-mails, SMS, conversations...), qu'on actionne d'un simple clic sur la tablette ou d'une pression sur le bouton du téléphone.

Gage de confiance commercial

«  Mais, face au risque, mieux vaut investir du temps que de l'argent  »,dit Jean-Baptiste Stuchlik, chef de division adjoint à l'Agence nationale de la sécurité des systèmes d'information (Anssi) , bien que l'organisme soit le certificateur des produits et logiciels. Surtout, ne rien acheter qui ne porte son tampon...

Une fois le mur technologique en place, il faut aussi sensibiliser et former. A la SNCF, les calendriers et des messages glissés dans les blocs-notes rabâchent les bonnes pratiques. En mode ludique, il existe des « serious games », comme Attaque Ciblée (Trend Micro) ou Info-Sentinel (Getzem). Une étude du Cesin montre que 62 % de ses membres, des grandes entreprises, ont testé le respect des recommandations par les salariés, souvent avec des  tests de phishing (voir ITrust).

La cybersécurité est un coût nouveau pour les entreprises. Mais «  cette contrainte peut devenir une opportunité de gagner des marchés en donnant des gages de confiance, notamment pour les fournisseurs de grands comptes  », relève Bénédicte Pilliet, du Cyber Cercle. Le cas d'Automatique & Industrie (ci-contre) en est la preuve. «  Les certifications de sécurité vont fonctionner comme les normes ISO hier : les donneurs d'ordre vont aller vers les mieux-disants  », ajoute Jean-Baptiste Stuchlik. Aux Etats-Unis, le degré de protection est déjà un critère de mesure de la valeur d'une entreprise pour les fusions-acquisitions.

Léa Delpont - Correspondante à Lyon

 

https://www.lesechos.fr/pme-regions/actualite-pme/0301440669087-cybersecurite-dans-les-pme-20-de-technologie-80-de-management-2162736.php