Les TPE et PME sont particulièrement vulnérables aux cyber-attaques. Quelle est la nature des menaces et quelles conséquences peuvent-elles avoir sur leur activité ?
En effet les TPE et PME sont particulièrement vulnérables, car ce sont les entreprises qui se sentent les moins visées et qui sont le moins armées face aux menaces. Les attaques par phishing sont en forte progression. Il s’agit majoritairement de piéger la TPE ou PME via un mail qui contient un lien renvoyant sur un site frauduleux ou contenant un fichier infecté de type cryptolocker. Les conséquences de ces attaques peuvent être dévastatrices pour les entreprises. Aujourd’hui une grande partie de l’activité passe par des emails et si ces échanges sont détournés ou bloqués cela peut paralyser l’entreprise.
Concrètement, une TPE peut perdre toute visibilité sur ses chantiers à venir, ses factures peuvent être falsifiées en modifiant le RIB pour détourner les règlements des clients. Nous avons plusieurs exemples d’entreprises qui ont subi ces attaques et il est difficile pour elles d’y survivre. Si elles n’ont pas été victimes de détournement, ces attaques les ont totalement déstabilisées et enclenchées des réactions en chaîne. On peut comparer une cyberattaque d’une PME numérisée à un incendie ! C’est dévastateur.
Les dirigeants d’entreprises sont-ils bien conscients de ces menaces ? Comment renforcer leur sensibilité à ces enjeux ?
Les dirigeants sont mal préparés, ils ont peu de partenaires pour les sensibiliser aux enjeux de la cybersécurité. On parle souvent des attaques importantes touchant de grandes structures et cela peut créer le sentiment que les questions de cybersécurité ne concernent que les grandes entreprises. Les chefs d’entreprises qui ont été victimes ne comprennent pas pourquoi elles ont été ciblées. Leurs entreprises ne sont pas particulièrement des cibles, mais les attaques inondent en masse et le chef d’entreprise qui se fait piéger devient une opportunité pour les attaquants. Par ailleurs, dans de nombreuses TPE ou PME, la concentration est portée sur l’activité, les équipes, les clients.
La numérisation de leurs process n’est pas toujours maîtrisée ni préparée et la partie sécurisation peut être vécue comme une contrainte. Le chef d’entreprise est souvent seul et se concentre donc naturellement sur ce qu’il peut voir et ce qu’il maîtrise. En revanche, si le chef d’entreprise est mieux sensibilisé, il prendra en main ce sujet et se fera accompagner comme il le fait sur les risques matériels. Pour y parvenir, il faut prendre conscience des enjeux de la numérisation et de la nécessité de sécuriser ce pan de l’activité de l’entreprise. Les chefs d’entreprises sécurisent leur activité, car c’est une condition de pérennité et ceux qui sont sensibilisés prennent les dispositions nécessaire pour prévenir les attaques.
Quels sont les interlocuteurs privilégiés pour accompagner les TPE et les PME dans le renforcement de leur protection cyber ? Les experts-comptables en font-ils partie ?
Je pense que tous les acteurs en contact avec les TPE et PME peuvent les sensibiliser. L’enjeu principal est là. Ensuite, la mise en place des solutions techniques et opérationnelles doit être réalisée par des spécialistes. Les experts-comptables ne sont pas des spécialistes en cybersécurité à proprement parler, même si certains d’entre nous sont à la pointe.
Mais notre rôle est justement de les sensibiliser et de les conseiller, comme nous le faisons pour nos propres cabinets. Mais dans la mesure où nous accompagnons les entreprises dans leur numérisation, avec le déploiement de la facture électronique par exemple, nous sommes bien souvent leurs premiers interlocuteurs. Si les chefs d’entreprises se tournent naturellement et spontanément vers leur expert-comptable quand ils ont des questions ou pour évaluer leurs décisions, ce n’est pas aussi évident en matière de cybersécurité. C’est donc à nous de provoquer cette réflexion avec nos clients pour les sensibiliser sur les risques encourus.
Quels conseils pouvez-vous donner aux dirigeants d’entreprises pour minimiser leur vulnérabilité face aux cyber-menaces ?
Il est important de rassurer. Prendre en main sa cybersécurité n’est pas un exercice technique insurmontable. Toutes les entreprises peuvent le faire, c’est beaucoup de bon sens et quelques réflexes. Pour les solutions techniques, il est possible de se protéger sans pour autant mettre en place des solutions coûteuses. Pour commencer, il est important de sécuriser ses boîtes mail en mettant en place une double authentification. C’est une solution simple et gratuite qui permet d’être alerté sur son téléphone si son mail est utilisé par un tiers.
En cas d’alerte, il est possible de bloquer l’accès à boite mail, à l’instar de ce que font les banques pour valider certaines opérations. Ensuite, il faut toujours vérifier les informations bancaires de ses partenaires pour éviter les détournements. En cas de doute ou message surprenant, il est prudent de vérifier par un appel téléphonique. Il est primordial de mettre en place des routines de sauvegardes régulières et de les tester. C’est essentiel, car en cas de cyberattaque, les sauvegardes sont le seul moyen de rebondir et d’assurer la continuité de l’activité. Il faut faire deux sauvegardes selon deux méthodes différentes. Les prestataires informatiques peuvent y aider. Enfin, il faut également sensibiliser ses propres collaborateurs, car ils sont le premier rempart contre toute agression externe.
