La PME, cible privilégiée des hackers ?

30 millions d’euros pour les petites entreprises les plus sensibles : c’est l’annonce faite par Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications lors de l’European Cyber Week qui se tenait à Rennes les 15, 16 et 17 novembre 2022. Objectif affiché par le Gouvernement en matière de cybersécurité : « toucher toutes les dimensions économiques de la nation ». Il était temps, si l’on pense à la cible que représentent les PME aujourd’hui.

Qui sont les plus vulnérables ? Pourquoi le sont-elles davantage aujourd’hui ? Comment mieux comprendre l’ampleur et la nature de ces attaques ? Comment s’en protéger et adresser efficacement ce marché ?

Le 28 juillet 2022, le tribunal judiciaire de Strasbourg plaçait Clestra en redressement judiciaire. 145 millions d'euros de chiffre d'affaires, 700 salariés, le roi alsacien des cloisons de bureaux était au bord de la faillite, terrassé par une cyberattaque. Cette affaire n’est pas isolée, et si Clestra est une ETI, aujourd’hui, ce sont toutes les entreprises qui sont menacées : en 2021, une entreprise sur deux a été touchée en France, quelle que soit sa taille, quel que soit le secteur d’activité.

« C’est bien que l’État, par cette subvention, impulse quelque-chose pour faire prendre conscience aux PME-ETI qu’il y a quelque-chose à faire », réagit Benjamin Serre, Chief Development Officer chez Orange Cyberdefense, depuis le Campus régional de Lille, précurseur sur ce marché intermédiaire. « Les plus grandes structures, celles qui sont d’importance vitale, sont déjà visées depuis longtemps et ont même une obligation à se protéger. Les attaques sont quotidiennes, et elles se protègent bien. Mais plus le haut du marché renforce ses protections, plus la cybercriminalité se déplace vers le bas ».

Les chiffres sont là : « 75% des attaques se font sur les sociétés de taille moyenne », martèle Hugues Foulon, PDG d’Orange Cyberdefense. Et les petites entreprises sont 4,5 fois plus nombreuses à être victimes de cyber-extorsion que les moyennes ou grandes entreprises (même si en proportion, les grandes entreprises restent les plus touchées), nous confirme le Security Navigator 2023 publié par Orange Cyberdefense.. En 2022, les TPE et PME ont été particulièrement sujettes aux malwares : 49 % d’incidents contre 35 % en 2021, davantage que le taux d’incidents dans les moyennes entreprises (17%) et dans les grandes (43%). 

Pourtant, face à cette réalité aujourd’hui incontournable, le déni impose encore sa force. « Beaucoup d’entreprises, privées comme publiques, pensent encore que parce qu’elles ne sont pas très connues, elles n’attirent pas les cybercriminels. Pourtant aujourd’hui, absolument toutes les entreprises issues de tous les secteurs d’activité sont concernées, pas uniquement la santé. Aujourd’hui, il y a plus de chances d’être victime d’une cyberattaque que d’un incendie ! », alerte Benjamin Serre.

Dans les grandes entreprises, on compte effectivement, en moyenne, un spécialiste pour 1400 personnes. Les PME et TPI, elles, ne font pas de la cybersécurité leur priorité. Et pourtant…

Combien sont concernées ? Toutes

Aujourd’hui, le gouvernement évoque les « petites entreprises les plus sensibles » et précise que 750 sociétés (PME et ETI) vont bénéficier de cette enveloppe pour se « mettre à l’abri ». 750, cela peut paraître peu, voire ridicule, au regard des plus de 5 millions d’entreprises que compte la France. Plus de 99% de ces entreprises sont des TPE ou PME (plus de 80% de 1 à 3 salariés, 7% de PME, de 6 à 50 salariés).

« Nous adressons déjà les entreprises de plus de 50 salariés, avec plus d’un million de machines sous surveillance chez nous. Nous avons des solutions pour eux et une bonne expérience même s’il reste un gros travail d’acculturation à faire, la cybersécurité peut encore leur paraître complexe, détaille Xavier Warnier de Wailly, Product manager / Marketing France, « ce que l’on a développé plus récemmennt c’est une solution de surveillance pour les entreprises de 1 (les indépendants) à 50 salariés qui ne sont pas adressées aujourd’hui. Aujourd’hui, c’est un boulanger, une esthéticienne, le maçon, c’est n’importe qui. N’importe qui qui clique. Le maillon faible est entre le clavier et la chaise et n’importe qui se fait prendre. Il y a, à ce jour, près de 5 millions d’entreprises, de pro-PME, qui n’ont aucune protection, à peine un anti-virus gratuit sur leur poste de travail ». Lancé en février de cette année nous avons déjà plus de 10 000 clients qui nous font confiance.

Le nouveau visage de la cybercriminalité

Et si ces entreprises se protègent peu ou mal, c’est d’abord parce qu’elles n’ont pas conscience du paysage réel de la menace. « Le phénomène est relativement nouveau à l’échelle de cette réalité, une dizaine d’années seulement. C’est un changement de paradigme », précise Benjamin Serre. « Les PME-TPE ne sont pas du tout préparées à la cybercriminalité telle qu’elle s’est développée. Elles vivent dans un monde où elles pensent que l’internet est relativement sûr alors qu’il ne l’est pas. Depuis 2008, on est face à des structures criminelles qui ne reculent devant rien pour faire de l’argent ».

Les attaques ne sont plus ciblées mais massives, répétées, opportunistes et indirectes. Hugues Foulon, PDG d’Orange Cyberdefense., le rappelait récemment : « Les attaques se font souvent par ce que j’appelle un cheval de Troie chez les sous-traitants et prestataires. Plutôt que d’attaquer frontalement un grand groupe, la stratégie est souvent de chercher le maillon faible, pénétrer par le système d’un prestataire ou sous-traitant au système informatique peu robuste pour remonter ainsi jusqu’à la cible ». Pour les grandes entreprises, la PME/ETI est un peu un talon d'Achille à leur propre protection.

Les attaques surgissent sous deux formes, explique Benjamin Serre : « L'attaque la plus violente, la plus courante est le ransomware. Les données captées sont négociées contre de l’argent, cela met en péril toute une organisation. Ces attaques ont démarré fin 2019. Avant cela, elles s'exécutaient sur les postes de travail, aujourd'hui elles s'exécutent sur les serveurs, sur le cœur du système d'information. Il y a eu une explosion de ce type d'attaques avec la crise sanitaire et cela ne freine pas. La cybercriminalité́ s'est adaptée, il est facile d'accéder à des serveurs. De grands réseaux cybercriminels se sont ainsi développés.

La seconde, ce sont tous les types de compromission sur les environnements collaboratifs, n’importe quel type de messagerie. Le COVID et l’accélération du télétravail n’ont fait qu’accélérer le phénomène. Ce sont les attaques les plus communes, les plus répandues et qui ne font pas la Une parce qu’elles ne paralysent pas forcément totalement l’entreprise. La compromission de boites aux lettres consiste à prendre le contrôle de plusieurs boites jusqu'à parvenir à effectuer des virements frauduleux. L'absence de double facteur d'authentification et de surveillance facilite ce type d'attaques. La plupart des organisations de taille intermédiaires publiques ou privées n'en ont pas et facilitent ainsi la vie des attaquants ».

91% des attaques commencent par un e-mail

Les points de vulnérabilité, sont de plus en plus nombreux et l’impact, lui, aussi silencieux que désastreux. Pour un hôpital ou un géant du CAC 40 qui fait la Une de l’actualité, ce sont des dizaines et des dizaines d’entreprises qui mettent la clef sous la porte. Plus d’une sur deux, 60%, fait faillite dans les 18 mois suivant l’attaque. « En 2020, il y avait peu d'entreprises qui ne se relevaient pas car les attaquants n'étaient pas assez compétents sur les systèmes de sauvegarde et ne se préoccupaient pas de les détruire, explique Benjamin Serre. Mais actuellement, ce n'est plus le cas, les attaquants sont de plus en plus efficaces dans la destruction des systèmes de sauvegarde qui sont souvent très vulnérables : c'est comme si un pyromane détruisait les extincteurs avant de démarrer le feu ».

50 000 Euros de perte en moyenne, plus d’une faillite sur deux dans les 18 mois

Et c’est tout le tissu économique français qui s’embrase : les TPE/PME, c’est 49%, quasi la moitié du salariat en France, 36% du chiffre d’affaires des entreprises en France. Alors que les pares-feux existent. Xavier Warnier de Wailly fait le calcul pour nous : « aujourd’hui, une attaque, on l’estime à 50 000 Euros de pertes en moyenne pour une pro-PME. Il y a le rachat du matériel informatique, mais il y a aussi l’arrêt de l’activité, la remédiation… la maison a brûlé… 50 000 Euros, et souvent la faillite, contre moins de 10 Euros par mois pour assurer la surveillance de base et la réponse en cas d’incident ! C’est accessible aux 5 millions de patrons, à chacun de faire son calcul… ». C’est moins cher que le prix du café pour un collaborateur dans l’entreprise.

L’urgence pour les plus petits ? La surveillance

« Cela fait longtemps que nous avons des solutions adaptées à cette cybercriminalité-là », confirme Benjamin Serre, et la priorité, la surveillance, avant tout : « Comme dans le monde physique, on met des serrures aux portes, on met de la surveillance, on s’attend à l’intrusion, mais là, on ne le fait pas pour le digital, alors que ce n’est pas si compliqué de protéger son entreprise ».

Si la prise de conscience est là, le frein se situe ailleurs, explique Agnès Da Costa, Head of Operational Marketing France : “On a passé le mindset : “ça n’arrive qu’aux autres ». Le problème, c’est le passage à l’action, le budget dédié, trouver le bon prestataire, se faire accompagner… Elle rappelle que pour les petites entreprises, on ne s’adresse pas à un spécialiste cyber ou un service informatique mais le plus souvent au patron lui-même, un patron multi-casquettes, débordé, qui fait ce qu’il peut. « C’est pour cela que nous développons des offres simples pour les ETI-PME, basées sur le diagnostic, le check-up, c’est un « pied à l’étrier», avant d’aller plus loin : sensibilisation et formation des salariés ».

« On ne surveille pas les petites structures comme on surveille les grandes entreprises, insiste Benjamin Serre. Quand on s’est lancés il y a 3, 4 ans, on est parti avec des offres de conseil, mais on a vite fait le constat qu’il fallait basculer tout de suite dans la surveillance. Nous, on part de la menace, de la façon dont elle se déroule dans la réalité. L’urgence pour ces entreprises, c’est la surveillance avant tout, c’est la clef. Ensuite vient le sur-mesure, c’est à dire l’audit, le conseil, la formation, dans un deuxième temps. Et non l’inverse ! On perd du temps ! Soyons pragmatiques ! »

Mais quel bouclier mettre en place ? « Barricader les fenêtres et les portes ne suffit pas. L’anti-virus ne fonctionne plus du tout face à cette menace. Le logiciel anti-virus est trop faible, les attaquants se mettent dans cette zone d’ombre, et l’humain doit être là pour le détecter. Un détecteur n’est pas là pour bloquer le feu mais pour le repérer assez tôt afin que l’on puisse réagir et limiter les dégâts. C’est cela que nous proposons : nous passons de la gestion de crise, où la maison a déjà brûlé, et c’est trop tard, à la gestion d’incident : le feu a pris dans la cuisine mais on le circonscrit. »

Et dans la maison, tout le monde est concerné, pas seulement les services informatiques ou le patron, précise Agnès Da Costa, Head of Operational Marketing France : « Le salarié n’est plus uniquement sur son lieu de travail. Il est en déplacement ou chez lui, avec son téléphone mobile. Ça nous oblige à repenser la sécurité en remettant l’utilisateur au centre. On a changé de philosophie, ce n’est plus le château fort entouré de murailles. Nous sommes entrés dans le « zéro trust network access » : les accès, les besoins, les usages et la localisation de l’utilisateur sont au centre de nos réflexions pour prévenir tout comportement suspect. Les utilisateurs doivent être dans un comportement normal, attendu. La surveillance est au cœur de toute activité. »

L’expérience du terrain

Xavier Warnier de Wailly souligne l’expérience d’Orange Cyberdefensesur le terrain : « Orange Cyberdefense a une force, celle de s’appuyer sur le réseau d’Orange, l’opérateur historique et de confiance, et accompagne aujourd’hui de 1000 ETI, PME, TPE et collectivités.

Plus de 10 000 professionnels (auto-entrepreneurs, artisans, etc. ) sont également suivis dans le cadre d'une offre de surveillance spécifiquement dédiée aux pros et lancée en février 2022 ».

Et c’est cette expérience qui est stratégique, confirme Benjamin Serre : « On est des « coyotes » de la cyber : à force de résoudre des incidents dans ces PME-TPI, nous avons de l’information sur les attaquants, sur leurs comportements, qui nous permet de mieux prévenir. Notre stratégie est celle du terrain : plus nous sommes forts en renseignement, plus nous sommes forts en défense. Cette course contre la montre se joue avec la surveillance, la surveillance et encore la surveillance !