Les PME ne sont pas moins vulnérables. Elles le seraient même plus. Or, elles sont généralement mal protégées. Quelques conseils de Maxime Rapaille, Cyber Security Advisor

«Si vous voulez attaquer la Chancellerie du Premier Ministre, faites-le via le livreur de petits pains !» Le conseil de Maxime Rapaille, Cyber Security Advisor, Cyber Security Management, appelle à sourire. Il n’en reste pas moins pertinent.

«Quiconque croit que la petite taille de son entreprise n’en fait pas une proie attrayante pour les cyber-attaques risque fort de déchanter. Une institution telle que la Chancellerie du Premier Ministre dispose d’une sécurité robuste. Aussi, plutôt que l’attaquer frontalement, l’assaillant tentera de le faire via un vecteur intermédiaire, à savoir une petite société bien moins protégée… Souvent, les PME sont des chevaux de Troie offrant un accès à des donneurs d’ordre plus importants !»

Quoi de mieux que le fournisseur du coin ! C’est ce qui s’est passé pour Target, la grande chaîne de magasins américaine, rappelle Maxime Rapaille : elle a été attaquée par le biais de son fournisseur de solution de climatisation ! Par ailleurs, il arrive que les petites sociétés, elles-mêmes, soient des proies intéressantes. Par exemple pour transformer leurs systèmes en relais pour une attaque DDoS ou pour fouiller dans leurs fichiers à la recherche de matière à chantage pour les gros poissons.

On voit aussi que les PME sont attaquées de façon aléatoire, à l’instar du voleur qui visite au hasard un immeuble, choisissant les appartements les plus faciles à pénétrer. Idem pour les rançons, dont les montants s’élèvent entre 15.000 et 50.000 euros, voire bien davantage s’il y a des secrets industriels, par exemple.

«C’est une erreur de croire que vous êtes davantage en sécurité parce que vous êtes une petite société, confirme Maxime Rapaille. Plus vulnérables et moins préparées, les PME constituent une cible de choix pour les cybercriminels. Il est urgent de les sensibiliser aux menaces et de leur apporter des solutions.»

Une question de coûts

Si les grands groupes et les TPE-PME sont confrontés aux mêmes menaces, les dégâts engendrés par une cyberattaque restent plus destructeurs pour ces dernières, plus vulnérables financièrement et moins préparées aux attaques. Dans la majorité des cas, hormis les opérations de ransomware, elles ne se rendent pas compte qu’elles sont attaquées, encore moins que leurs serveurs peuvent servir à lancer des attaques.

Actuellement, de profondes disparités entre les entreprises marquent le paysage de la cybersécurité et les raisons sont, avant tout, d’ordre budgétaire. En effet, les plus petites structures n’ont généralement pas capacité à dégager des ressources financières dédiées pour adresser les problématiques de protection, généralement par manque de moyen ou à cause d’une mauvaise évaluation des risques.

«D’une manière générale, les PME évaluent généralement mal leurs risques. Souvent, déjà, elles ne les connaissent pas, estime Maxime Rapaille. Le risque informatique est lié à la connaissance du métier, au niveau de la maîtrise de l’outil informatique ainsi qu’à l’utilisation des moyens de contrôles. Une analyse de risques s’impose donc. C’est la première étape.» 

Autre facteur qui explique le retard des PME : leur manque de maturité et de connaissances sur le sujet de la cybersécurité. Les petites entreprises semblent avoir bien du mal à se protéger correctement. A l’inverse des grands groupes, les PME ont rarement les ressources dédiées à la gestion de leur parc informatique et de leur sécurité, ce qui ne facilite pas leur travail de compréhension des menaces.

L’enjeu actuel est donc double : aider les entreprises à évaluer leur niveau de sécurité et informer correctement les équipes opérationnelles sur la manière dont elles peuvent se protéger correctement des menaces. Car si les lois européennes sur la protection des données, comme le GDPR, imposent aux entreprises de savoir exactement où se trouvent leurs données sensibles et comment elles sont protégées, la régulation ne donne cependant aucune piste sur la manière dont les entreprises peuvent financer leur cybersécurité par exemple ou savoir si elles sont suffisamment protégées. Comment, dans ces conditions, prévenir les autorités en cas de failles si elles ne disposent pas d’une visibilité précise de leur niveau de protection…

Une première brique de sécurité

Aujourd’hui, il est urgent de poursuivre ce travail de sensibilisation, en apportant des solutions clés en main pour équiper les PME avec les bases de la sécurité. Le but n’est pas de couvrir toutes les fonctions mais d’instaurer une première brique de sécurité pour évoluer petit à petit vers une protection plus poussée, le temps d’identifier les besoins propres à l’entreprise et de s’adapter à son budget.

Au fur et à mesure que l’entreprise se développe et gagne en maturité, des solutions de sécurité supplémentaires peuvent être ajoutées. Des tests de vulnérabilités peu coûteux peuvent par exemple être initiés et permettre ainsi un suivi régulier de la surface d’attaque.

Externaliser le travail de protection auprès de prestataires spécialisés ? Pour Maxime Rapaille, c’est une option, mais seulement une option. «Externaliser signifie se défaire. Or, votre sécurité vous appartient, ne l’oubliez jamais. Certes, par nature, les prestataires spécialisés sont nettement plus compétents. Mais en leur confiant l’entièreté de votre sécurité, vous perdrez conscience des risques. Faites-vous conseiller, faites-vous aider, mais n’abandonnez jamais le contrôle !»

Le recours aux seules technologies n’est pas davantage une solution, assure encore le spécialiste de Cyber Security Management. Il n’est pas rare que les entreprises se tournent d’abord vers des solutions de sécurité techniques, sans vraiment tenir compte de la manière dont ces solutions seront mises en œuvre, maintenues et gérées de façon quotidienne. «A quoi bon déployer des solutions de protection techniques comme les pare-feu ou la détection des intrusions sans toutefois mettre correctement en œuvre les politiques ou les procédures de sécurité ? Il en résultera des pratiques inadéquates qui compromettent la sécurité et exposent les actifs à un risque important.»

Gouvernance

Pour Maxime Rapaille, la sécurité ne peut exister en vase clos; elle doit faire partie d’une stratégie globale de gestion du risque fondée sur les objectifs d’affaires et les valeurs de l’organisation. Les organisations doivent connaître leur seuil de tolérance au risque, ou leur «niveau de risque acceptable». Ce seuil peut varier selon la catégorie d’actifs. Par exemple, une organisation peut tolérer un certain niveau de risque dont les répercussions sont considérées comme mineures, mais être très réfractaire à tout risque pouvant nuire à sa réputation. Et c’est là qu’on parle de gouvernance, le mécanisme par lequel ces valeurs relatives au risque sont reflétées dans l’orientation et le jugement qui déterminent les plans d’affaires, l’architecture de l’information, les politiques et procédures de sécurité, ainsi que les pratiques d’exploitation. Et c’est là que Cyber Security Management intervient.

Priorité, donc, à la gouvernance de la sécurité. Elle permet de s’assurer que tous dans l’entreprise travaillent conformément au plan dans l’exécution de leurs activités d’affaires et assurent la protection des actifs, compte tenu du contexte de gestion du risque ainsi que de la stratégie et de l’orientation à suivre en matière de sécurité. Lorsque ce n’est pas possible, la gouvernance permet de s’assurer que les écarts qui résultent de certaines expositions au risque sont communiqués à l’équipe de direction, pour qu’elle puisse prendre la décision d’accepter ces risques ou d’appliquer les mesures et les ressources nécessaires pour y remédier…