TPE/PME : les bonnes pratiques à connaitre en cybersécurité
Avec plus de 28 millions de résultats sur la question, la cybersécurité est devenue la question la plus recherchée par la communauté web. D’après le baromètre de la cybersécurité des entreprises réalisé par le CESIN en 2024, près d’une entreprise française sur deux a été victime d’une cyberattaque. Un sujet qui touche les entreprises de toutes tailles.
Heureusement, de bonnes pratiques permettent de déployer la sécurité numérique des entreprises.
Sommaire
1. Les TPE et PME dans le viseur des cybercriminels
2. Le TOP 3 des cyberattaques pour les entreprises
3. Le salarié au cœur du risque de cybercriminalité
4. Les 5 bonnes pratiques à mettre en place pour les TPE/PME
TPE et PME dans le viseur des cybercriminels
Face au renforcement des mesures de cybersécurité chez les grands groupes, la cybercriminalité continue de se tourner vers les entreprises de taille plus modeste, fragilisant ainsi l’ensemble de l’écosystème économique.
Les petites et moyennes entreprises (PME) restent des cibles de choix pour les cybercriminels en raison de la valeur de leurs données, qu’il s’agisse de mots de passe, d’informations de paiement ou de données personnelles sensibles. En 2023, 34 % des victimes de rançongiciels étaient des TPE, PME et ETI, un chiffre qui témoigne d’une persistance de la menace et d’une hausse significative par rapport aux années précédentes. Globalement, le nombre total d’attaques par rançongiciel recensées par l’ANSSI a augmenté de 30 % par rapport à 2022, rompant ainsi avec la tendance à la baisse observée l’année précédente.
À lire également :
Sécurité Zero Trust & GED : La combinaison ultime pour une cybersécurité assurée !
La vulnérabilité des PME face aux attaques informatiques s’explique par le manque de ressources allouées à la cybersécurité, mais aussi par l’évolution des stratégies des cybercriminels. Depuis l’essor du télétravail, les collaborateurs des TPE et PME sont devenus des cibles privilégiées, servant de points d’entrée pour attaquer indirectement des entités plus importantes. De plus, en 2023, de nouveaux groupes d’attaquants sont apparus ou se sont réorganisés, contribuant à l’émergence de nouvelles souches de rançongiciels.
Les associations et les collectivités territoriales, qui ont représenté respectivement 9 % et 24 % des victimes d’attaques par rançongiciel en 2023, illustrent l’extension de cette menace à d’autres secteurs sensibles. Dans ce contexte, la sécurité numérique des TPE et PME devient une priorité urgente, nécessitant des actions renforcées pour protéger leurs infrastructures et données face à une cybercriminalité toujours plus organisée et agressive.
Pour assurer la continuité de leurs activités et leur propre protection, les entreprises doivent adopter dès maintenant de bonnes pratiques en matière de cybersécurité.
Le top 3 des cyberattaques visant le plus les entreprises
Parmi les 47 formes de cybermalveillance référencées par cybermalveillance.gouv, 3 grandes tendances visent fréquemment les entreprises :
- L’hameçonnage (ou phishing) vise à inciter la cible à réaliser une action communiquant des informations personnelles et/ou professionnelles en usurpant l’identité d’un tiers. Le but est de voler des données professionnelles et/ou personnelles essentielles.
- Le piratage de compte de ligne cible aujourd’hui les comptes de messageries pour contrôler la vie numérique des victimes (réinitialisation des mots de passe, etc). Elle conduit à une violation des données.
- Les rançongiciels (ou ransomwares) bloquent l’accès à l’appareil ou aux fichiers en les chiffrant avant de réclamer une rançon aux victimes. Une tendance qui grossit de 95 % en 2021 chez les professionnels.
Les entreprises disposant de savoir-faire industriels rares ou évoluant dans des secteurs à forte compétition internationale sont notamment visées par des actes de cybercriminalité. Le risque d’espionnage est élevé pour ces entreprises. En 2021, l’ANSSI a ainsi dénombré 14 opérations d’espionnage informatique sur 17 opérations de cyberdéfense suivies. La sécurité des systèmes doit être prise en compte pour éviter ce genre de situation en déployant des solutions de sécurité.
Le salarié au cœur du risque de cybercriminalité
Pour lutter contre ces cyberattaques, les entreprises boostent le budget informatique en 2021 avec une progression de + 63 % par rapport à l’an dernier. Ce dernier vise surtout à assurer la transformation digitale de l’entreprise, moins sa sécurité. Pire, la question de la cybersécurité reste ainsi souvent l’adage de la DSI et des conseils d’administration.
Pourtant, pour être efficace, elle doit être l’adage de tous les employés. Contrairement aux croyances, le risque de sécurité n’est pas essentiellement une question technique : elle intègre en grande partie le facteur humain.
Stratégie d’entreprise, sensibilisation et formation doivent être de rigueur pour faire de son salarié un super-acteur de la cybersécurité œuvrant pour son entreprise.
La sécurité informatique des entreprises s’en trouvera renforcée, diminuant les risques de cyberattaques.
Cyberattaques des TPE/PME : 5 bonnes pratiques à mettre en place
Pour résumer, d’après l’ANSSI retrouvez les 5 mesures cyber préventives à mettre en place, pour élever le niveau de sécurité et de protection des entreprises face au cyber risque
1. Renforcer l’authentification de vos systèmes d’information :
- en appliquant les mises à jour des logiciels et des systèmes d’exploitation
- en renforçant vos procédés d’authentification
- en paramétrant les droits d’accès sur les serveurs selon les missions de chacun
Pour la gestion documentaire, par exemple avec le logiciel gestion de PME, vous pouvez en autre renforcer vos systèmes d’information avec la mise en place d’une double authentification et la définition d’accès spécifiques aux documents. Ainsi, vous sécurisez l’accès à la gestion électronique de documents selon les besoins de chacun.
2. Accroître la supervision des évènements pour ne plus être pris au dépourvu :
- En renforçant la sécurité des points d’accès extérieurs
- En assurant la sécurité des informations sensibles grâce à la famille des normes ISO/IEC 27000 et ISO 27001.
En particulier pour les TPE/PME, la solution Open Bee assure un niveau de sécurité clé en main, en termes de stockage vos données logiciels sont hébergées sur un datacenter certifié ISO 27001 et situé en France.
3. Anticiper en recherchant d’éventuelles anomalies
Également accorder une méfiance accrue auprès des messages et des appels téléphoniques alarmistes et inattendus.
4. Déployer une prévention active en déployant deux actions concrètes :
- en sensibilisant vos salariés aux risques des cybermenaces
- en augmentant la fréquence de sauvegarde des systèmes et des applications critiques avec des copies déconnectées.
Effectuer une veille sur les sites internet des professionnels de la cybersécurité, cybermalveillance.gouv et l’ANSSI, pour vous tenir informé des dernières actualités.
5. Mettre en place un dispositif de crise avec une solution « clé-en-main »
Cela vous permettra d’avoir une vision claire de vos systèmes d’information et de leur criticité. Vous pourrez alors élaborer un plan d’action opérationnel en cas d’attaques informatiques.
En conclusion, vous l’aurez compris, la cybersécurité a beau être technologique, elle dépend en grande partie de l’humain. Sachez être vigilant, agile et réactif pour assurer la sécurité de l’entreprise.
En savoir plus :
Gestion comptable des PME
Sources :
(1)Rapport d’activité 2021 de Cybermalveillance.gouv
(2)5 mesures cyber préventives prioritaires recommandées par l’ANSSI
(3)Site de l’ANSSI
(4)Site de Cybermalveillance.gouv
