L’or réside dans les flux de données numériques des TPE et des PME. Pour convaincre leurs décideurs et employés à sécuriser leur système d’information, Cybermalveillance.gouv.fr, le club EBIOS, la CPME, le MEDEF et l’U2P lancent aujourd’hui l’opération ImpactCyber.
Avec plus de 4 millions d’entreprises, les TPE-PME constituent 99% du tissu économique français. Elles représentent une cible de choix pour les cybercriminels. Cette conviction est partagée par Cybermalveillance.gouv.fr, le Club EBIOS, la CPME, le MEDEF et l’U2P qui tentent de responsabiliser les dirigeants et leurs équipes à sécuriser leurs données et échanges numériques.
L’opération ImpactCyber est articulée en trois phases : une enquête pour cerner le rapport à la cybersécurité des TPE-PME, une campagne de sensibilisation et enfin, un mémento de cybersécurité, qui se veut un recueil de référence.
L’étude ImpactCyber
Des éléments chiffrés factuels sont issus d’une étude menée avec OpinionWay qui évalue le niveau de maturité cyber des entreprises et établit ainsi un état des lieux précis de leur gestion de la sécurité informatique dont voici les principales conclusions:
Les TPE-PME conscientes des risques cyber…
Pour ces catégories d’entreprises et notamment les plus petites structures, la gestion de l’informatique est du ressort du chef d’entreprise (82%) ; 72% ne disposent d’aucun salarié dédié à cette tâche et leur budget en sécurité informatique est de moins de 2 000€ par an pour 68% d’entre-elles. Dans 53% de ces entreprises, les salariés utilisent des moyens personnels à des fins professionnelles dont pour 95% leur téléphone portable, 34% leur ordinateur et 28% leur messagerie personnelle.
Quand on les interroge sur le sujet de la cybersécurité, près de 6 entreprises sur 10 (58%) considèrent que c’est un sujet qui doit mobiliser tout le monde. Ainsi, plus de la moitié (55%) d’entre elles sensibilisent leurs collaborateurs, davantage encore dans les grandes entreprises.
Parmi les obstacles invoqués pour atteindre le bon niveau de cybersécurité, la moitié (46%)met en avant le manque de temps (60%), le manque de connaissances / expertise (56%), le manque de budget (53%), ou encore ne pas savoir pas vers qui se tourner (34%). Et 6 entreprises sur 10 (61%) déclarent être faiblement protégées (42%) notamment parmi celles de plus de 10 salariés ou ne pas savoir l’évaluer (19%).
En matière de sécurité informatique, pour s’informer ou se faire aider, les entreprises se tournent prioritairement vers leur prestataire informatique, notamment celles qui ont une gestion externalisée totale ou partielle (80%). En deuxième position, 1 sur 5 a recours à Cybermalveillance et ce davantage encore dans les plus grandes entreprises (51% des entreprises de 50 salariés et plus).
… Les décideurs sous-estiment les enjeux
Malgré cette prise de conscience face à la menace cyber, 62% des entreprises interrogées pensent être faiblement exposées aux risques de cyberattaques (41%) ou l’ignorent (21%). Seules 38% sont conscientes d’être fortement exposées aux risques de cyberattaques.
La plupart 78% se disent insuffisamment préparées (46%) ou l’ignorent (32%) et 7 entreprises sur 10 ne disposent pas de procédure de réaction.
En matière d’équipements, si près de 7 entreprises sur 10 déclarent connaître des solutions de sécurité, plus d’1 sur 2 (53%) ne sait pas si ces solutions sont adaptées ou non à ses besoins (42%) ou pense qu’elles ne le sont pas (11%).
Enfin, en termes de budget, seules 10% prévoient de l’augmenter, notamment celles de plus de 10 et 50 salariés, principalement pour faire évoluer leurs équipements.
Un défaut de compétence et d’expertise en cyber
Enfin, quand on leur demande de se projeter dans une situation de cyberattaque, les entreprises reconnaissent que si elles y étaient confrontées, 65% ne sauraient pas en évaluer les impacts ; seules 35% d’entre elles pensent qu’elles seraient en capacité de le faire, et particulièrement celles qui sontconscientes d’avoir un faible niveau de protection.
Ces mêmes TPE-PME redoutent un certain nombre d’impacts liés à la cybersécurité: plus de 9 entreprises sur 10 craignent une destruction ou vol de données (94%), une perte financière (94%) et une interruption d’activité (90%) voire une atteinte à la réputation (80%).
15 % des entreprises interrogées déclarent avoir été touchées par un incident de cybersécurité durant les 12 derniers mois. Ces incidents seraient liés à un hameçonnage (24%), au téléchargement d’un virus (18%), ou encore à une faille de sécurité non corrigée pour 14% d’entre elles. Toutefois, près d’une sur deux (43%) ne sait pas en expliquer les raisons.
En corrélation avec ces risques redoutés, les principaux impacts pour les entreprises touchées sont l’interruption d’activité (35%), le vol de données (25%), l’atteinte à l’image de l’entreprise (17%), la perte financière (15%), et la destruction de données (12%).
« Cette étude dresse un état des lieux préoccupant du niveau de maturité cyber des TPE-PME qui sont encore trop nombreuses à ne pas être prêtes à faire face à une cyberattaque ni à ses conséquences. Pourtant, des solutions à la portée de toutes les entreprises existent. C’est pourquoi, devant l’urgence et l’enjeu que représentent la cybersécurité, le Club EBIOS, la CPME, le MEDEF et l’U2P se mobilisent à nos côtés pour appeler toutes les TPE-PME à se sécuriser au plus vite. C’est en ce sens que nous avons lancé l’opération ImpactCyber. Cela fait partie de notre mission d’intérêt public de les accompagner dans cette voie avec des prestataires de confiance et des services tels que Mon ExpertCyber » a déclaré Jérôme Notin, Directeur Général de Cybermalveillance.
La campagne ImpactCyber
Forts de ces enseignements, Cybermalveillance, le Club EBIOS, la CPME, le MEDEF et l’U2P lancent ce 1er octobre une campagne de communication pour convaincre les TPE-PME de passer à l’acte en sécurisant leur système d’information. Pour les toucher, la campagne met en avant des entreprises victimes, à travers la parole de leurs clients, dénominateur commun de toute structure commerciale. La sensibilisation passe aussi par le biais de trois films réalisés et déclinés sous forme d’affiches, de prospectus, de kakémonos et de bannières.
Le Mémento de cybersécurité
Enfin, un mémento de cybersécurité constitue le troisième volet de l’opération ImpactCyber.
À travers des récits de cyberattaque inspirés de faits réels, des témoignages de dirigeants, des conseils et des solutions pragmatiques, il vise à accompagner les chefs d’entreprise pour leur permettre de se protéger face aux cybermenaces. La campagne et le mémento sont disponibles en ligne et diffusés par chacun des acteurs de l’opération.
PME et chaîne logistique particulièrement ciblées
De son côté, le cabinet Forrester Research désigne la tromperie, la furtivité et la sophistication des menaces comme les trois principaux traits de caractères des cyberattaques en 2024. En Europe, les vulnérabilités sont sectorielles et les lacunes systémiques, dans un climat de tensions géopolitiques mondiales. Les auteurs de l’étude Forrester observent que :
Les tactiques de cyberespionnage ont évolué dans un contexte de tensions régionales. La nature sophistiquée et multiforme des conflits géopolitiques contemporains doit être prise en compte.
Les correctifs manquants et l’ingénierie sociale constituent l’essentiel des causes profondes des incidents. Un quart des décideurs de sécurité européens déclarent avoir été victimes d’exploitation de vulnérabilités logicielles et 24 % d’attaques par phishing. Se faufiler dans la chaîne d’approvisionnement des logiciels (20%) reste un vecteur d’attaque courant.
82% des décideurs de sécurité européens ont subi des attaques impliquant l’exploitation d’un fournisseur tiers ou d’une chaîne d’approvisionnement en logiciels ; ils déclarent un coût cumulé de l’ordre d’un million d’Euros ou plus. Cependant, 65% prétendent ne pas avoir subi d’attaques impliquant leur chaîne d’approvisionnement cette année.