66 % des PME attaquées au cours des 12 derniers mois

0
123

En janvier 2019, le groupe Airbus a annoncé avoir subi une cyberattaque visant le vol des données personnelles de ses employés via Expleo, une société de conseil et un sous-traitant de l’avionneur européen. En juin dernier, Asco, un autre sous-traitant d’Airbus, a aussi fait les frais d’une intrusion sur son réseau. Ces attaques illustrent une nouvelle tendance en cybersécurité : passer par les sous-traitants et remonter la supply chain pour atteindre les grandes entreprises.

Tribune Avast – Un schéma qui a par ailleurs inquiété Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes informatiques (ANSSI) lors des Assises de la sécurité qui se sont tenues du 9 au 12 octobre dernier : « A force de sécuriser les grands groupes, les attaquants passent de plus en plus par les fournisseurs ou les sous-traitants qui ont un accès privilégié à leurs systèmes d’information ». Une étude menée par le Ponemon Institute et publiée début octobre 2019 a montré que 66 % des PME ont été attaquées au cours des 12 derniers mois, augmentant le risque d’infection de toute leur supply chain.

Selon Alexandra Alguazil, Partner Account Manager France chez Avast, les PME doivent prendre en considération l’importance de leur cybersécurité pour renforcer la confiance de leurs partenaires :

« Depuis quelques années, les grandes entreprises ont considérablement investi dans des solutions de sécurité informatique renforcées et perfectionnées, rendant les intrusions plus difficiles à mener. Ces entreprises sous-traitent beaucoup à de petites et moyennes entreprises (PME) avec lesquelles elles vont échanger des données confidentielles. Mais ces PME ne disposent souvent pas des mêmes dispositifs de cybersécurité que leurs clients : c’est dans cette brèche que vont s’infiltrer les pirates. Les PME sont ainsi particulièrement visées par les cyberattaques en raison de faibles ressources allouées à la sécurité informatique. Ce qui, en plus d’augmenter leur vulnérabilité, rallonge le temps de détection d’une attaque.

Une cyberattaque peut être particulièrement dommageable pour une PME et encore davantage si elle se trouve au sein d’une chaîne d’approvisionnement. Elle peut en effet infecter d’autres maillons de la chaîne, perdre d’importants contrats ou encore compromettre sa crédibilité. En termes numéraires, l’étude du Ponemon Institute a estimé qu’une cyberattaque coûte en moyenne 620 000 euros pour une petite entreprise et plus d’un million pour une entreprise de taille intermédiaire (ETI). Ces coûts ne couvrent que les opérations de redémarrage, de perte de productivité et de correction des systèmes touchés ; ils n’incluent donc pas les sanctions prévues par le Règlement général sur la protection des données (RGPD). En effet, le règlement dispose que toute organisation à qui sont confiées des données sensibles ou personnelles en est responsable et risque de lourdes amendes si ces données étaient compromises, même dans le cas d’une cyberattaque. Les pénalités prévues peuvent atteindre 4 % du chiffre d’affaires de l’entreprise ou 20 millions d’euros, selon le montant le plus élevé.

Une stratégie simple pour réduire les risques de cyberattaque peut être mise en place par les PME et ce à différents niveaux :

  • Sensibiliser et informer les employés sur les moyens de détecter les tactiques de phishing et les sites Web frauduleux. En renforçant la prévention face à ce genre de menaces via des réunions d’information ou encore des webinaires, une PME accroit déjà son niveau de sécurité informatique ;
  • Faire un état des lieux des comptes et des niveaux d’accès et, à partir de cela, se poser les bonnes questions : qui a accès à quelle information et pourquoi ? Cet accès est-il encore justifié ? Questionner la légitimité des accès et faire un tri entre les comptes actifs et inactifs permet d’obtenir une vue d’ensemble sur le réseau et de réduire encore davantage les risques d’intrusion par des tiers malveillants ;
  • Adopter des outils efficaces de cybersécurité : les antivirus et les pare-feux permettent de contrôler les flux et les types de communication. Ils bloquent également les accès à certains sites Web et empêchent les activités et les téléchargements malveillants ;
  • Obtenir des accréditations de sécurité à l’instar de la norme internationale ISO/CEI 27001 qui définit les exigences de mise en place d’un système de management de la sécurité de l’information. En recevant de telles accréditations, une PME s’assure de la fiabilité de son infrastructure de sécurité informatique et renforce sa crédibilité face à ses partenaires.

Les PME sont devenues les cibles favorites des cybercriminels dont l’intention est de remonter la supply chain pour atteindre les plus grandes entreprises. Endiguer ces menaces pour les petites entreprises passe cependant par l’adoption de réflexes simples comme la sensibilisation des employés face aux risques et l’adoption d’outils de sécurité informatique faciles à mettre en place. »