Le dernier Baromètre de maturité numérique de Digital Wallonia est sans appel

46 % des entreprises en Wallonie n’investissent pas dans la cybersécurité ! Cet ordre de grandeur ne signifie pas un manque de budget, estime Axel Legay, Expert in IA and Cyber Security. Mais d’y voir  plutôt le symptôme d’un rapport encore fragile entre les entreprises et leur sécurité numérique.

« L’humain est au centre de tout : il fait entrer les attaques sans s’en rendre compte ; c’est aussi lui qui hésite le plus à adopter des mesures simples par manque de temps, par peur de mal faire ou parce qu’il se croit ‘trop petit’ pour être une cible », analyse Axel Legay.

Ce phénomène n’a aucune raison de s’atténuer. La technologie avance plus vite que notre capacité à la comprendre ou à l’enseigner. Nous utilisons chaque jour des outils que personne ne nous a appris à manier correctement. Chaque avancée crée de nouvelles possibilités, mais aussi de nouvelles vulnérabilités -qui, presque toujours, passent par l’humain. 

Individuellement, c’est banal…

Dans les PME, ces failles prennent souvent la forme de gestes anodins. Un mot de passe noté sur un papier, un accès jamais désactivé, une facture mal vérifiée, un mail suspect qu’on ouvre en pensant que ce n’est rien. « Individuellement, c’est banal ; ensemble, cela forme une brèche ! »

Prenons un exemple concret. Une PME de construction reçoit un e-mail parfaitement imité de son fournisseur. Nouvel IBAN, nouvelle procédure. Rien d’anormal à première vue. Le comptable valide. Un mois plus tard : « Nous n’avons rien reçu ! » La PME découvre qu’elle a perdu 27 800 EUR, suite à un compte compromis par un mot de passe réutilisé.

Ce type de fraude n’a rien de théorique. Il touche travailleurs, indépendants, PME, associations et même des particuliers. L’exemple de Guy, habitant de Plombières, en est la preuve : 31 000 EUR envolés après une facture falsifiée. Les escrocs observent parfois leurs cibles pendant des semaines. Ils attendent le moment où la vigilance baisse et où l’opération semble normale. « C’est une criminalité patiente, discrète et redoutablement efficace, observe Axel Legay. Et cela ne fera que s’intensifier… »

Les attaques évoluent. « Au fond, rien de vraiment neuf ! Au XIXᵉ siècle, les fraudeurs manipulaient déjà le télégraphe de Chappe pour influencer la Bourse. La technologie change, mais la logique reste la même : exploiter la confiance humaine. »

Alors, pourquoi 46 % n’investissent toujours pas ?

Parce que personne ne leur dit clairement les choses ! Les dirigeants n’entendent jamais :

  • qu’ils sont « trop petits pour être attaqués » -alors qu’ils sont justement les plus vulnérables ;
  • que « manquer de temps » ne protège personne ;
  • que « ne pas savoir par où commencer » est normal quand le discours est trop technique ;
  • que la sécurité « coûte trop cher » est souvent faux ;
  • que l’argument « ça n’est jamais arrivé » n’a aucune valeur.

« Les entreprises évoluent dans une culture du silence ; on ne parle pas des incidents, commente Axel Legay. On ne partage pas les erreurs. On enseigne peu, souvent trop tard. Résultat : chacun avance seul, avec ses doutes et ses angles morts. Une attaque vieille de dix ans continue encore aujourd’hui de peser sur la réputation d’une entreprise, comme si elle ne pouvait jamais ‘avoir appris’. »

Ce manque de culture collective fragilise tout l’écosystème. Il manque une culture préventive, qui anticipe et organise. Il manque une culture active, qui partage les incidents et les solutions. « Il manque surtout une culture décomplexée, qui cesse de considérer la cyberattaque comme une honte à cacher. »

10 gestes simples pour renforcer une organisation, quelle que soit sa taille

Connaître réellement ce que l’on possède  -ordinateurs, téléphones, données, accès- est le point de départ. Sans inventaire, impossible de protéger quoi que ce soit. On ne peut pas signaler un vol sans savoir ce qui manque.

Ensuite, garder ses systèmes à jour. Une mise à jour n’est pas un gadget : c’est un correctif qui ferme une porte connue des criminels. Les organisations soumises à NIS2 y sont d’ailleurs obligées.

Activer l’authentification à deux facteurs (2FA), un geste simple, incroyablement efficace. « Ce n’est pas un contrôle : c’est un filet de sécurité ! » Pour les mots de passe, un gestionnaire évite les notes, les doublons et les comptes oubliés. On vise un principe simple : aucun mot de passe identique, aucun accès inutile.

Former les collaborateurs reste le geste le plus rentable. Un employé informé devient un capteur d’alerte, pas un maillon faible.

Les sauvegardes doivent être testées : trois copies, deux supports, une hors ligne.Le problème n’est jamais Microsoft, Google ou le cloud -c’est l’absence de bonne configuration.

Les accès à distance doivent être protégés par VPN et journaux d’accès.
NIS2 demande d’ailleurs qu’ils soient documentés.

Vérifier la sécurité des fournisseurs n’est plus optionnel : la chaîne la plus faible attire l’attaque.

Et puis il y a la communication. Une entreprise qui subit une attaque doit assumer, expliquer et montrer ce qu’elle a corrigé. La transparence renforce la confiance ; le silence, lui, détruit la réputation. Et en interne, un collaborateur qui n’ose pas signaler une erreur est un risque.

Celui qui dit « je crois que j’ai fait une bêtise » est un atout. 

Alors que faire ?

Les entreprises ne sont pas seules. Les outils, les formations, les experts existent. Mais le premier pas doit venir d’elles.

La cybersécurité n’est plus un souci technique : c’est une question de gestion et de culture. « Le plus grand risque n’est pas l’attaque.
C’est l’inaction ! Commencer, même modestement, change déjà la trajectoire. Chaque geste renforce la confiance, protège la réputation et prépare l’avenir. Et le meilleur moment pour s’y mettre reste -comme toujours- maintenant ! »