La montée en puissance des cyberattaques impose de nouvelles exigences en matière de cybersécurité pour les TPE françaises. Avec la diversification des attaques et leur impact croissant, les dirigeants de petites entreprises réalisent la nécessité de se protéger, même si le passage à l’action reste un défi. Cybermalveillance.gouv.fr, créé à l’automne 2017 est au cœur de cette mission de sensibilisation en travaillant sur des initiatives ciblées. Franck Gicquel, directeur des partenariats de l’organisation, nous éclaire sur le sujet…
Cybermalveillance.gouv.fr agit à travers une étude, une campagne et un livrable, tous diffusés principalement via leurs réseaux et les organisations patronales pour in fine, toucher le niveau régional. À ce titre, les Assises de la Cybersécurité de Monaco (8-11 octobre 2024), axées sur les grands comptes, ont été l’occasion pour Cybermalveillance.gouv.fr d’échanger avec les entreprises dans le cadre de l’étude « Impact Cyber« , menée avec bon nombre d’organisations patronales (Medef, CPME, U2P).
Les enseignements tirés montrent que, bien que la prise de conscience soit là, nombre de dirigeants de TPE adoptent encore une attitude prudente, minimisant les coûts potentiels. Pour l’illustrer, Franck Gicquel évoque le “syndrome du parcmètre” : « Un dirigeant de petite entreprise se dit que le coût éventuel d’une attaque peut être comparé à une amende pour stationnement non payé. Mais, en réalité, une cyber attaque peut immobiliser l’entreprise pendant des semaines dans le meilleur des cas, voire à toucher à sa survie dans le pire des scénarios. » La fragilité financière de ces structures les rend d’autant plus vulnérables à des interruptions prolongées de leurs activités.
La nécessité de s’appuyer sur des prestataires qualifiés
Franck Gicquel insiste sur un point essentiel : les dirigeants de petites entreprises, même s’ils sont réputés pour leur polyvalence entre la gestion et la production, ne peuvent pas tout faire eux-mêmes, en particulier sur le sujet complexe de la cybersécurité et sont dans une idée de « fausse sécurité », ce qui veut dire qu’ils délèguent ce sujet à des prestataires qui ne sont eux-mêmes pas qualifiés pour se dresser contre des incidents.
“On a des cas de figure où les dirigeants sont accompagnés depuis plusieurs années ou plusieurs mois par un prestataire informatique, qui font très bien leur job, mais qui n’ont pas forcément pris nécessairement le virage de la cybersécurité, ou ne le prennent pas assez en considération. Résultat : ces prestataires nous contactent car ils n’ont pas la capacité de gérer l’incident. Tout simplement car ce sont des prestataires informatiques, et qu’ils ne sont pas professionnels de la cybersécurité.“
Franck Gicquel recommande donc aux dirigeants de s’assurer que leur prestataire est qualifié et, idéalement, labellisé “Expert Cyber” par l’AFNOR (Association française de normalisation). Cela garantit un socle de compétences couvrant la sécurité, la maintenance et la réponse aux incidents.
Des outils de formation pour autonomiser les dirigeants
En parallèle, Cybermalveillance.gouv.fr met à disposition des outils pédagogiques gratuits, accessibles pour les dirigeants et leurs équipes, dont le MOOC de l’ANSSI « Connaître et apprendre de manière ludique les notions de base de la cybersécurité« , un cours en ligne d’une durée globale de dix heures et qui propose de se familiariser avec les bases de la cybersécurité.
Pour des besoins de formation rapide, le module “SensCyber” propose également une initiation de deux heures. En permettant aux salariés de comprendre les menaces et les bonnes pratiques, ces outils visent à renforcer la résilience globale des entreprises françaises face aux cyberattaques.
« Concrètement, si vous êtes un dirigeant de TPE-PME et que vous souhaitez vous former ou former l’ensemble de vos salariés sur le sujet en deux heures, il peut y accéder gratuitement. Cela permet de prendre connaissance des principales menaces et d’adopter les bonnes pratiques au quotidien ».
Franck Gicquel ajoute que la majorité des incidents signalés sur cybermalveillance.gouv résultent souvent d’une absence de connaissances de base, et non d’une complexité technique insurmontable. Il souligne : « Les fondamentaux, comme la vigilance en matière de mots de passe et de sauvegarde, pourraient éviter bien des incidents. »