Les exemples de cyberattaques, ciblant hôpitaux, institutions et grandes entreprises, font régulièrement les titres de la presse. Pourtant, les entreprises, et surtout les TPE/PME, sous-estiment encore cette menace globale, et peinent à mettre en place des politiques adaptées au risque cyber. Explications de Nicolas Thore, dirigeant et fondateur de Guiddy, entreprise spécialisée dans la cyber-protection.
Qu’en est-il du risque cyber pour les PME ?
N.T. : « Aujourd’hui, l’ensemble des entreprises sont concernées, et plus seulement les grands groupes. En 2022, près de 9 entreprises sur 10 ont fait l’objet d’une cyberattaque, et 52% étaient des TPE ou des PME. Les cybercriminels industrialisent véritablement leurs méthodes, ne ciblant plus seulement une entreprise précise mais lançant des attaques massives, envoyant des milliers de mails frauduleux en misant sur les simples probabilités pour qu’un collaborateur, par mégarde, ouvre un mail infecté. La question à se poser n’est donc plus « serais-je attaqué ? », mais quand, et comment réagir. La crise du Covid-19, en accélérant la digitalisation, a multiplié les points d’entrées, et donc de risques. Mais malgré tout, le risque est encore sous-estimé, vu comme un problème qui ne concerne que les grandes entreprises ou les DSI, alors que cela doit concerner l’ensemble d’une société. »
Comment les entreprises réagissent-elles à ce risque ?
N.T. : « Une large part des PME l’ignore, tout simplement ─ à tort. D’autres investissent dans des outils informatiques, certes pertinents, mais qui oublient que 90% des attaques réussies ont une source humaine : téléchargement d’une pièce jointe infectée, clic d’inattention ; les techniques de phishing sont nombreuses et l’IA les rend d’ailleurs plus difficiles à détecter. Sensibiliser les équipes est donc primordial, mais trop de formations restent longues, et les apprenants n’en retirent finalement pas grand-chose. C’est pourquoi Guiddy a fait le choix de proposer des modules plus courts, sur une demi-journée ; qui interagissent et interpellent. Mais le plus important est de mettre en place une véritable politique face au cyber-risque au sein des entreprises. »
Qu’entendez-vous par là ?
N.T. : « Tout d’abord la communication est essentielle : si un salarié pense avoir cliqué sur un lien infecté, il doit le dire immédiatement, car il est alors bien plus simple de limiter le risque, en coupant les accès. Ensuite, il convient de mettre en place des outils adaptés à l’entreprise, car les process de partage et de protection des données ne sont pas les mêmes dans une TPE que dans une ETI ; et si la cybersécurité est un investissement incontournable, il doit rester proportionné. Et il est important de repartir de choses simples, comme le changement régulier de mots de passe. Cela n’a l’air de rien, mais les simples précautions (mots de passe longs, les changer une à deux fois par an…) limitent déjà considérablement les risques. De même, prendre quelques secondes pour vérifier l’adresse mail d’un expéditeur est indispensable, car les mails frauduleux ne sont plus truffés de fautes d’orthographe comme par le passé. Cependant le principal enjeu est bien de faire prendre conscience que la cybersécurité est l’affaire de tous. »
Plus d’infos : www.guiddy.fr