Les petites et moyennes entreprises sont visées par les cyberattaques.
Moins bien protégées que les grandes, elles subissent un coût supérieur.
Au Forum international sur la cybersécurité (FIC), qui se tient à Lille, Stéphane Richard en personne a fait le déplacement. Seul sur la grande scène, le patron d'Orange - qui a développé depuis deux ans une filiale dans le domaine - a un message à faire passer aux milliers de professionnels dans la salle : « La cybersécurité ne concerne pas que les grands groupes. Il y a aussi un enjeu important, celui des PME. » Se pensant protégées par leur moindre taille, leur secteur d'activité ou leur localisation géographique, les TPE et PME françaises ont en effet longtemps été mal, voire pas du tout protégées face aux risques d'attaque informatique.
Les éditeurs, de leur côté, leur ont bien rendu ce manque d'intérêt. Mais le vent tourne. Et pour une bonne raison : les PME sont aujourd'hui visées autant que les autres par des attaques très larges et indiscriminées comme les fameux ransomwares (ou rançongiciels, qui chiffrent les données et exigent une rançon en échange de la clef).
Moins bien protégées, elles sont d'autant plus durement touchées. Une étude réalisée par Orange et « L'Usine nouvelle » sur 374 entreprises françaises, dont 60 % de moins de 250 salariés, montre bien ce phénomène.
En 2016, plus de la moitié des petites structures interrogées ont été touchées par une attaque (+13,4 points sur un an), soit davantage en proportion que les entreprises intermédiaires (48,5 %). Et près d'un tiers des PME attaquées font état d'un impact financier, contre seulement 7,2 % des grandes entreprises.
Des mesures strictes
L'an dernier, François Asselin, le président de la CGPME (devenue la CPME), s'était livré à un rare exercice de communication sur le sujet. Le patron expliquait que sa propre entreprise de menuiserie avait été victime d'un ransomware. « La qualité des sauvegardes a sauvé la boîte. Nous n'avions plus accès à aucun logiciel, y compris ceux pour faire les devis, la facturation, la paie », détaillait-il, avant de décrire le parcours du combattant pour porter plainte et de plaider pour plus de sérieux et d'investissement de la part des petites entreprises. « Il y a des éléments encourageants », fait valoir Nicolas Arpagian chez Orange Cyberdéfense.
Selon l'étude, les outils de cybersécurité sont moins utilisés par les PME que par les grandes entreprises, mais loin d'être absents. 62 % des PME assurent ainsi renforcer la sécurité des terminaux mobiles, contre plus de 95 % pour les entreprises de plus grande taille. Et deux tiers d'entre elles mènent des actions de sensibilisation en interne.
Est-ce le signe d'une prise de conscience ? « Il y a plutôt un éveil des consciences, soupirait Eric Hazane, référent de l'Anssi pour la région Bretagne, début octobre lors d'une table ronde sur la sécurité numérique et les territoires.
Actuellement, seuls les opérateurs d'importance vitale, de très grandes entreprises, sont obligés par la loi de programmation militaire de prendre des mesures strictes en matière de cybersécurité.
