Pourquoi les PME sont-elles la cible des cyberattaques ?

C’est un fait, les cyberattaques de PME sont en augmentation alarmante. Et contrairement à ce que l’on pourrait penser, les petites et moyennes entreprises ne sont pas à l’abri. Elles sont en effet des cibles de choix pour les pirates informatiques, dues à des ressources limitées en matière de cybersécurité, une sensibilisation aux risques souvent insuffisante et une perception erronée de leur propre vulnérabilité.

Une cyberattaque envers une PME peut entraîner des pertes financières significatives, endommager la réputation de la marque et provoquer la fuite de clients vers des concurrents perçus comme plus sûrs. Dans le pire des cas, elle peut causer la fermeture de l’entreprise.

Pourquoi les TPE/PME sont-elles des cibles privilégiées pour les pirates informatiques ?

Les TPE/PME sont plus vulnérables que les grandes entreprises

Un manque de ressources avéré

Les TPE/PME, par nature, disposent souvent de budgets plus limités, ce qui les contraint à prioriser leurs dépenses. Ainsi, la cybersécurité se trouve reléguée au second plan. Contrairement aux grandes entreprises qui peuvent se permettre d’investir dans des systèmes de sécurité sophistiqués et de recruter des experts en cybersécurité, les petites et moyennes entreprises se contentent de solutions à portée de leur budget, malheureusement plus basiques et moins efficaces. Sans compter également qu’elles n’ont pas à leurs côtés un expert pouvant les accompagner sur ces sujets stratégiques.

C’est donc généralement une faille contextuelle et économique qui agrandit la surface d’attaque potentielle des TPE / PME et dont les cybercriminels s’emparent de plus en plus. Là où les systèmes de sécurité des grandes entreprises apparaissent comme plus difficiles à percer.

L’absence de politique de cybersécurité

Un autre point de vulnérabilité lors de cyberattaques sur des PME est l’absence de politique de cybersécurité clairement définie.

Une absence de procédures pour gérer les incidents de sécurité, une formation insuffisante des employés aux bonnes pratiques de sécurité et un manque de protocoles vis-à-vis de la protection des données sensibles, rendent les PME particulièrement vulnérables. Les cybercriminels le savent et exploitent donc ces failles comme angles d’attaques pour pénétrer les systèmes informatiques des PME.

Facilité d’accès et dissuasion juridique trop faible

Un niveau de sécurité trop bas

Notamment en raison des faits évoqués ci-dessus, les systèmes informatiques des TPE/PME restent trop peu sécurisés dans leur ensemble, les rendant plus faciles à infiltrer.

Les pare-feu mal configurés, les logiciels antivirus non mis à jour, les mots de passe peu complexes ou encore l’absence de double authentification, sont autant de failles exploitables pour les hackers. Les pirates informatiques privilégient donc les entreprises de taille moyenne, car ils rencontrent souvent moins de résistance pour pénétrer les réseaux et systèmes.

C’est une réalité qui doit alerter les TPE/PME sur l’urgence de renforcer la sécurité informatique de leurs dispositifs avant qu’il ne soit trop tard.

Des réponses juridiques trop peu dissuasives

D’un point de vue juridique, les TPE/PME représentent des cibles à faible risque pour les cybercriminels puisque là encore leurs ressources étant limitées, elles ne peuvent se permettre de poursuivre systématiquement en justice les auteurs de cyberattaques. Auteurs qui le plus souvent opèrent depuis l’étranger en prenant soin de couvrir leurs traces, les rendant ainsi difficilement identifiables.

En 2023, ce sont 17 700 atteintes aux systèmes d’informations qui ont été enregistrées par les services de police et de gendarmerie sur le territoire français.
Bien que des plateformes en ligne mises en place par la Ministère de l’Intérieur telles que Perceval, Pharos ou Thésée permettent de déposer une plainte, signaler un contenu frauduleux ou illicite, il s’avère qu’une partie significative de la cybercriminalité ne faisait toujours pas l’objet de plainte ou de signalement en 2023 (source : Rapport annuel de la cybercriminalité 2024).

Les TPE/PME doivent donc bien comprendre qu’elles ne sont pas à l’abri et que leurs vulnérabilités font d’elles des cibles de choix pour les pirates informatiques. A titre d’exemple, en 2023 le nombre d’attaques par rançongiciel porté à la connaissance de l’ANSSI était supérieur de 30 % à celui constaté sur la même période en 2022 (Source : ANSSI). Ignorer ces réalités expose les entreprises à des risques énormes, pouvant aller jusqu’à la cessation de leurs activités.

3 exemples de PME françaises victimes de cyberattaques

Voici 3 exemples concrets qui montrent à quel point les cyberattaques de PME peuvent affecter considérablement leurs activités et avoir des incidences majeures en coût et en réputation.

L’entreprise Etesia

Etesia, PME spécialisée dans le matériel d’entretien des espaces verts à Wissembourg, a subi en février 2024 une attaque informatique majeure.

Les pirates ont réussi à crypter toutes les données des serveurs, y compris ceux de secours, paralysant l’ensemble des services. La production a été fortement perturbée, obligeant une partie des 200 salariés à passer sur une activité partielle.

En l’absence de paiement de la rançon, puis dans l’incapacité de régler ses créances de la fin février, l’entreprise a finalement été placée en redressement judiciaire le mois suivant l’attaque.

Les pertes financières ont été chiffrées à plus de 100 000 euros pour la restauration des systèmes, occasionnant un fort impact sur la trésorerie. La récupération progressive des données sensibles par Databack, une société basée à La Roche-sur-Yon, a permis une reprise partielle des opérations, mais des inquiétudes subsistent toujours quant à l’image de marque de Etesia.

L’agglomération de Saint-Nazaire

Dans la nuit du 9 au 10 avril 2024, la Ville et l’Agglomération de Saint-Nazaire ont été victimes d’une cyberattaque via un cryptovirus.

Un tiers des 450 serveurs ont été infectés paralysant les systèmes informatiques et les terminaux des deux collectivités, rendant de fait inutilisables de nombreux services et obligeant les employés à revenir “au papier, à la gomme et au crayon”. Là aussi, la demande de rançon n’a pas été payée.

Le coût financier est en cours de chiffrage, mais il inclut les pertes d’exploitation, le recours à des sociétés extérieures, et des impacts organisationnels et humains. Bien qu’une plainte ait été déposée et des mesures prises pour prévenir d’éventuelles futures attaques, la réactivation des systèmes et la restauration complète des services devraient prendre environ deux ans estime le maire de Saint Nazaire, David Samzun.

Le retailer B2B Manutan

En 2021, l’entreprise Manutan, leader européen du retail B2B, a été paralysée pendant plusieurs semaines suite à une cyberattaque. L’infrastructure informatique de l’entreprise, un système hétérogène composée de 1 200 serveurs, rendant leur gestion et leur sécurisation complexes et difficiles, a finalement été la faille exploitée par les cyberattaquants.

Véritable électrochoc pour Manutan, l’entreprise prend réellement conscience de l’importance stratégique de son système informatique et du tournant vers la digitalisation opéré quelques temps plus tôt.

En réponse, l’entreprise a réalisé une refonte complète de son infrastructure en suivant les recommandations de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Elle a également modernisé ses applications pour éviter l’obsolescence et renforcer la sécurité. Ces changements ont transformé l’approche de Manutan vis-à-vis de l’IT, avec une augmentation conséquente du budget informatique, désormais considéré comme un levier central dans sa stratégie.

Comment les PME peuvent-elles éviter une cyberattaque ?

Stratégie de protection et mesure de prévention

La mise en place d’une politique de sécurité complète

La première ligne de défense contre les cyberattaques pour une PME est la mise en place de politiques de sécurité robustes. Elles doivent adresser les risques potentiels liés à des facteurs humains et intégrer des solutions matérielles et logicielles que nous verrons plus bas.

En termes de stratégie pour la sécurité d’un système d’information, voici 7 axes incontournables à prendre en compte pour la construction d’une politique de sécurité efficace :

1. Mises à jour régulières : les logiciels, systèmes d’exploitation et applications doivent être régulièrement mis à jour et intégrer les derniers correctifs de sécurité.
2. Sauvegardes régulières : application d’un plan de sauvegardes fréquentes de toutes les données critiques pour une récupération rapide en cas d’attaque.
3. Mise en place d’un EDR : collecte des données d’activités sur les terminaux utilisateurs, identification des comportements suspects et automatisation de la réponse pour neutraliser les attaques.
4. Utilisation de mots de passe forts : la mise en place d’une politique de mots de passe forts avec renouvellement régulier et l’utilisation d’un gestionnaire de mots de passe.
5. Authentification à deux facteurs (2FA) : l’activation de l’authentification à deux facteurs sur tous les comptes et systèmes critiques.
6. Contrôle d’accès : une limitation sur l’accès aux informations sensibles uniquement aux employés habilités et une surveillance des accès aux systèmes critiques.
7. Plan de réponse face aux incidents : un plan pré-établi pour gérer efficacement les cyberattaques lorsqu’elles se produisent, incluant les procédures de communication et de récupération de données.
8. Audit de sécurité régulier : nécessaire pour identifier les vulnérabilités et prendre des mesures correctives avant qu’elles ne soient exploitées.

 Formation et sensibilisation des utilisateurs

Les utilisateurs finaux sont régulièrement ciblés par les stratégies de cyberattaques. En 2024 parmi les organisations ayant subi au moins un acte de cyber-malveillance, 73 % des attaques étaient de type phishing, donc à l’intention direct des utilisateurs finaux. Par conséquent, les utilisateurs doivent être sensibilisés face aux risques de cybersécurité.

Cela passe par l’organisation de sessions de sensibilisation régulières pour transmettre les bonnes pratiques, créer des réflexes afin de reconnaître les tentatives de phishing, éviter le téléchargement des fichiers non vérifiés, signaler immédiatement toute activité suspecte, etc. Une PME bien préparée et vigilante sera nettement moins susceptible d’être victime de cybercriminalité.

Cependant, la sensibilisation ne suffit plus. Externaliser ses données via une solution de sauvegarde est devenu essentiel. De nombreuses TPE-PME conservent encore leurs données localement (postes de travail, serveurs, NAS), ce qui les expose davantage. Pour pallier cela, il est crucial de renforcer la protection par un service de backup fiable et externalisé.

 Externalisation et solutions de cybersécurité

Externalisation de la sécurité

Pour les TPE/PME ne disposant pas des ressources nécessaires, l’externalisation de la sécurité à des experts du domaine restera la solution la plus efficace.

Investir dans des services de sécurisation du SI ou faire appel à des agences spécialisées en cybersécurité permet de garantir un niveau d’expertise et l’accès à des technologies avancées.

Ces prestations d’externalisation permettent de surveiller en continu les systèmes d’information, de détecter et neutraliser les menaces en temps réel, d’assurer la conformité vis-à-vis de la protection des données ou d’accéder à des conseils précieux pour renforcer la politique de sécurité de son entreprise, sur le long terme.

 Solutions de cybersécurité

Pour vous éclairer concrètement sur le type de solutions informatiques devant être intégrées à une politique de sécurité, nous avons dressé cette liste de 9 solutions à considérer au plus vite :

1. Solution de backup : idéalement une solution unique permettant d’assurer la sauvegarde, la restauration, la protection contre les malwares et la gestion de la protection des postes de travail.
2. Outils de contrôle e-mails : protection contre le phishing, le spear-phishing et les attaques par usurpation d’identité.
3. Pare-feu de nouvelle génération (NGFW) : filtrage du trafic réseau avancé avec inspection profonde des paquets pour prévenir les attaques DoS et DDoS, et bloquer les accès non autorisés.
4. Solutions de gestion des accès et des identités (IAM) : gestion des identités et des accès avec authentification multi-facteurs pour prévenir les usurpations d’identités.
5. Systèmes de prévention des intrusions (IPS) : Détection et blocage des tentatives d’intrusion en temps réel.
6. Services de sécurité DNS : filtrage DNS pour bloquer l’accès des utilisateurs d’une organisation aux sites malveillants et prévenir les attaques par rebond et de divulgation de données.
7. Réseaux privés virtuels Solution de backup : idéalement une solution unique permettant d’assurer la ls (VPN) : pour sécuriser les communications, notamment dans le cadre du travail à distance
8. Solution de chiffrement des données : chiffrement des données sensibles pour se protéger en cas de vol ou de fuite, de la divulgation de données sensibles, qu’elles soient stockées ou transmises.
9. Solutions EDR (Endpoint Detection and Response) : prévention des attaques par ransomware et phishing, par la détection et l’application d’une réponse face aux menaces ciblant directement les terminaux des utilisateurs finaux.

Les conséquences d’une cyberattaque pour une PME peuvent être fatales, allant de la perte de données à la fermeture définitive. Il est donc impératif de ne pas ignorer ces dangers.

En prenant des mesures proactives, par la mise en place de politiques de sécurité solides et l’adoption de solutions de cybersécurité adaptées, les TPE/PME peuvent considérablement réduire leur vulnérabilité aux cyberattaques.

La cybersécurité n’est plus une option, mais une nécessité vitale pour la survie et la prospérité de votre entreprise.