TPE PME : créons une culture cyber !

Les résultats d’un sondage mené par Unigros (l’union des associations et syndicats des grossistes de Rungis) illustrent le manque de communication auprès des TPE et PME. Selon les TPE-PME appartenant à ce groupement, il n’existe pas de campagne massive de communication ciblée et il conviendrait de communiquer davantage sur les règles simples à mettre en place car il y a un fort besoin de sensibiliser et de former. Toujours selon ce sondage mené en décembre 2021, il y a un fossé entre la perception et la réalité : 1/3 des patrons de TPE PME pensent que leurs salariés sont bien sensibilisés aux questions de cyber. Or, dans les faits ce n’est pas le cas. Il y a un excès de confiance. Autre exemple de dichotomie : l’étude indique que 100% des entreprises ayant été touchées ont porté plainte, or la réalité terrain est tout autre : la majeure partie des entreprises touchées ne portent pas plainte. Sitôt le problème réglé, l’activité de l’entreprise repart et « on passe à autre chose ». ll existe un besoin prégnant de sensibiliser.

Force est de constater que les TPE PME ne se sentent pas toujours concernées par les questions de cybersécurité. C’est un fait, elles n’ont bien souvent pas la compétence cyber nécessaire, et décident d’externaliser la sécurité de leur SI. Si le fait de choisir de confier à un tiers la gestion de sa sécurité est une bonne solution, ces prestations peuvent induire, en fonction du contexte dans lequel elles sont réalisées, des risques pour le système d’information comme pour les données (intégrité, disponibilité, confidentialité). L’ANSSI identifie à ce propos trois grands domaines de risques : la perte de maîtrise du système d’information ; les interventions à distance ; l’hébergement mutualisé. Pour autant, le recours à un prestataire est même souhaitable lorsque les compétences en interne sont absentes ou insuffisantes, le niveau de confiance dans le partenaire étant un facteur clé.

Par ailleurs et c’est là un autre risque prégnant, les TPE et PME pensent que leur taille les préserve du danger… Or il est désormais prouvé que les grandes entreprises, les ETI, les PME et même les start-ups ne sont pas à l’abris d’un cyber-risque. Mais les TPE / PME ont encore tendance à penser que « cela n’arrive qu’aux autres ». Il est donc primordial de faire évoluer les mentalités et pour cela, de sensibiliser et de former en interne, au sein des entreprises, afin de mettre en place une véritable culture cyber.

1. Consulter les fiches pratiques sur le phishing, les ransomware… sur le site cybermalveillance.gouv.fr
2. Choisir un partenaire labellisé Cyber Expert ou de confiance pour déléguer sa sécurité
3. Ne pas pour autant ne pas s’en préoccuper en restant vigilant (cela n’arrive pas qu’aux autres !)
4. S’informer régulièrement auprès des médias spécialisés
5. Noter dans son agenda les événements sur le sujet de la cybersécurité
6. S’assurer d’une sauvegarde régulière
7. Appliquer les mises à jour logicielles
8. Implémenter une politique d’usage de mots de passe robustes et une authentification multi- facteurs
9. Penser à faire régulièrement des exercices de crise (pour être prêt « au cas où »), y compris pour préparer les aspects « communication » en cas d’attaques
10. Et sensibiliser ses salariés aux risques (serious game)

Les TPE PME représentent 98% des entreprises françaises. Elles sont alors le tissu économique de notre pays. Le coût mondial de la cybercriminalité en 2021 est évalué à 6 000 milliards de dollars. Selon un récent rapport du Sénat, les entreprises, particulièrement les TPE et les PME, sont souvent exposées à des incidents de cybersécurité. Il convient alors, et pour les aider à s’en prémunir, de les encourager à mettre en place les principes de bases indiqués plus haut, et à instaurer cette culture cyber qui doit être désormais au cœur de la stratégie de toutes les entreprises.

Sans oublier que les TPE PME peuvent être une cible facile pour attaquer les plus grandes. Cyber protéger les PME, c’est protéger le tissu économique tout entier.