Les petites structures sont confrontées aux mêmes risques que leurs ainées, mais sans bénéficier de la même infrastructure de défense…sauf si elles adoptent les bons réflexes. Pour nous en parler, nous avons rencontré Marc Castejon, dirigeant de Silent Breach, une société spécialisée en cybersécurité basée à New-York (US).
Les principales menaces auxquelles les TPE doivent faire face incluent le phishing, les ransomwares, les attaques par force brute et les vulnérabilités liées aux logiciels obsolètes. Un panel de risques qui a de quoi faire trembler les plus intrépides… et pourtant, des solutions existent.
Le phishing : l’erreur humaine au cœur de l’attaque
Le phishing (hameçonnage) est une attaque de plus en plus sophistiquée qui exploite l’erreur humaine. Il s’agit d’une technique frauduleuse utilisée par des hackers pour se faire passer pour des entités de confiance dans le but de récupérer des informations sensibles.
Et les exemples ne manquent pas : ils se cachent derrière l’identité d’organismes publics ou communs, comme des enseignes de la grande distribution, la Sécurité sociale (…) et vous amènent à vous rendre sur une page de collecte de données pour y renseigner quantité d’informations… dont vos données bancaires.
« Le phishing représente la porte d’entrée la plus courante pour les cybercriminels dans les entreprises. Une seule erreur de la part d’un employé, comme cliquer sur un lien malveillant, peut entraîner une compromission majeure des données de l’entreprise. »
Les dirigeants de TPE doivent impérativement former leurs équipes à identifier ces tentatives de fraude. Il est également essentiel d’installer des filtres de sécurité qui détectent et bloquent les e-mails suspects avant qu’ils ne parviennent aux employés. Enfin, l’utilisation de l’authentification à deux facteurs (2FA) peut renforcer la protection en rendant plus difficile l’accès aux comptes, même si un mot de passe est compromis.
Les ransomwares : une rançon qui paralyse
Les ransomwares (logiciels malveillants) caractérisent par le chiffrement des données de l’entreprise, suivi d’une demande de rançon pour les déverrouiller. « Les TPE y sont particulièrement exposées : elles n’ont souvent ni les ressources pour payer la rançon, ni les sauvegardes nécessaires pour restaurer leurs données sans céder au chantage. »
Il faut donc s’ateller à mettre en place un protocole de sauvegarde robuste et régulier, afin de pouvoir récupérer les données critiques en cas d’attaque. Utiliser des solutions de stockage en cloud, dotées de certifications de sécurité (ISO 27001, SOC-2), peut offrir une protection supplémentaire tout en restant financièrement accessible pour les petites structures.
Les attaques par force brute
Les attaques par force brute sont un autre vecteur de menace, particulièrement fréquent pour les TPE. « Ces attaques exploitent la faiblesse des mots de passe utilisés, en les devinant par des tentatives successives ».
Pour se protéger efficacement, la première phase est la gestion mots de passe : ils doivent être longs, complexes et uniques pour chaque service ou application pour éviter la réutilisation de codes d’accès vulnérables.
Les failles des logiciels non mis à jour
L’utilisation de logiciels obsolètes ou non mis à jour est une faille souvent exploitée par les cybercriminels. « La procrastination en matière de mise à jour des systèmes est un comportement que l’on observe fréquemment dans les petites entreprises ».
« Cette négligence expose les TPE à des vulnérabilités connues, que les hackers peuvent exploiter facilement. »
Concrètement : les dirigeants doivent impérativement s’assurer que l’ensemble des systèmes et logiciels sont maintenus à jour, y compris les correctifs de sécurité. Cette action, bien que basique, est essentielle pour protéger l’entreprise contre les menaces courantes.
Sécuriser dès le début : les premiers réflexes à adopter
Marc Castejon insiste sur l’importance de la sécurité dès la création de l’entreprise : « La cybersécurité ne doit pas être une réflexion a posteriori. Il est impératif d’intégrer des mesures de sécurité dès la mise en place des systèmes. »
Parmi les actions prioritaires, la création de mots de passe robustes et la mise en place d’un antivirus fiable figurent en tête de liste.
Les petites entreprises doivent également sensibiliser leurs collaborateurs aux risques, car l’humain reste le maillon faible. « L’erreur humaine est la principale cause de nombreuses cyberattaques. C’est pourquoi il est important d’éduquer et de former les employés aux bonnes pratiques de cybersécurité. »
Le télétravail : un contexte à haut risque
Autre pan de la cybercriminalité, la montée en puissance du télétravail qui accroît dans sa dynamique de nouveaux défis en matière de sécurité.
L’accès distant aux systèmes de l’entreprise via des réseaux non sécurisés est une faille importante. « Les employés qui utilisent des réseaux Wi-Fi publics ou des appareils personnels non sécurisés exposent l’entreprise à des interceptions malveillantes. La solution la plus évidente est de sécuriser ces accès avec des solutions comme les VPN et de privilégier des appareils dédiés et protégés. »
Pour éviter ces risques, les entreprises doivent compléter leurs mesures techniques avec des politiques strictes en interne : il s’agit de les sensibiliser sur l’usage des équipements personnels et sur les dangers liés à l’utilisation de réseaux non sécurisés.
« La meilleure protection contre les cyberattaques reste la formation« . Les simulations de phishing et les tests de réaction face à des menaces sont des pratiques à adopter régulièrement pour évaluer et renforcer la vigilance des collaborateurs. Dans notre activité, on remarque que beaucoup d’attaques exploitent les failles humaines plutôt que technologiques.
Comment réagir en cas de cyberattaque ?
Lorsque les TPE subissent une cyberattaque, le temps de réaction va influer sur les dégâts. « La première étape est de déconnecter immédiatement les systèmes compromis pour éviter que l’attaque ne se propage ». « Ensuite, il est primordial d’analyser la situation, d’identifier la source de l’attaque et de restaurer les données à partir de sauvegardes sécurisées. »
l’expert rappelle également qu’il est nécessaire de notifier la CNIL sous 72 heures en cas de violation de données personnelles, conformément au RGPD. « Cette déclaration est essentielle pour des raisons légales, mais elle permet également d’activer les assurances qui couvrent ces incidents. »
Externaliser la cybersécurité : un choix stratégique ?
Pour une TPE, la gestion de la cybersécurité peut être complexe à gérer en interne. Marc explique que si une entreprise dispose de certaines compétences de base, elle peut se contenter de solutions internes pour débuter.
« Cependant, au fur et à mesure que l’entreprise se développe et que les menaces évoluent, externaliser la cybersécurité devient une option de plus en plus intéressante. »
Faire appel à un prestataire externe permet de bénéficier d’audits réguliers, d’une surveillance continue des systèmes et d’une réaction rapide en cas d’incident.
« Une entreprise, quelle que soit sa taille, doit connaître ses limites. L’investissement dans un service de cybersécurité externe est une assurance qui permet de prévenir des pertes financières et de réputation bien plus importantes ».
