Les TPE et PME ont-elles les connaissances et les moyens d’assurer leurs propres cybersécurités alors même qu’elles sont de plus en plus visées ? Ce défi de « passage à l’échelle », de massification de la protection cyber aux acteurs, y compris les plus petits, est le principal à relever pour les années à venir à en croire Vincent Strubel, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Il l’a rappelé une nouvelle fois à l’écosystème, à l’occasion de la cérémonie d’ouverture des Assises de la cybersécurité à Monaco, le 11 octobre.
Une PME sur deux fait faillite dans les 18 mois suivant une attaque
Tous les interlocuteurs de Siècle Digital sont unanimes, les petites et moyennes entreprises, à l’image des collectivités ou des établissements de santé, sont longtemps restées dans l’angle mort de l’écosystème cyber. « Avant, elles étaient peut-être moins touchées, car les attaquants visaient davantage les grandes entreprises » décrypte Olivier Morel, Trésorier de l’association professionnelle Hexatrust. Les cybercriminels, à la recherche de profits, ont eu tendance à privilégier les cibles au potentiel lucratif le plus élevé. C’est autour de ces grandes organisations que le marché de la cybersécurité s’est construit.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
La sensibilisation et le renforcement de la protection de ces dernières années ont, cependant, entraîné un effet de bord. Par facilité « les TPE-PME deviennent une cible intéressante de fait », constate Olivier Morel. Selon le rapport Cybersécurité, Passons à l’échelle, de l’Institut Montaigne publié en juin, en 2020, 65 % des victimes de rançongiciels recensées par l’ANSSI ont été des TPE-PME, collectivités, établissements de santé, 24 % des entreprises stratégiques. En 2022, les entreprises stratégiques représentaient 6 % du total, contre 73 % pour les petites structures.
Plus souvent attaquées, les TPE-PME sont aussi moins résilientes. Gérôme Billois, associé en cybersécurité au Cabinet Wavestone et co-rapporteur du rapport de l’Institut Montaigne, témoigne à Siècle Digital de la logique de solidarité dont bénéficient les grands groupes de la part de leurs partenaires, tout aussi exposés à ce risque. Mieux assurés et avec une trésorerie mieux dotée, les dégâts d’une cyberattaque peuvent être relativement circonscrits. Or, pour une PME, plus fragile, « la perte de 15 jours de chiffres d’affaires [environ la durée moyenne d’une interruption d’activité causée par un ransomware] peut faire s’effondrer son modèle économique ». Selon les chiffres du gouvernement, une PME sur deux fait faillite dans les 18 mois suivant une attaque.
Un marché difficile à adresser pour l’écosystème cyber
Il y a urgence à relever le défi du passage à l’échelle, de « faire du prêt-à-porter en plus de la haute couture » selon la métaphore bien sentie du directeur de l’ANSSI. Pour cela, il faut amener des acteurs « qui n’ont pas la même maturité, qui n’ont pas les mêmes moyens en matière de cybersécurité » à se protéger. Et il y a du travail, que ce soit en termes de sensibilisation ou d’adaptation de l’offre de services.
Convaincre les TPE-PME de leur propre faillibilité est une première difficulté. Selon le baromètre France Num 2023, seulement 48 % ont exprimé des craintes relatives à la cybersécurité. « Lorsque vous allez parler à une PME de cybersécurité, elle va vous dire « moi je n’y connais rien, je n’ai pas d’argent à mettre là-dedans, j’ai déjà du mal à gérer mon budget pour mon métier » » témoigne David Bécu, Sales Director Data Protection & Cyber Recovery chez Dell Technologies. Il regrette chez certains une forme d’inconscience, y compris par des entités déjà touchées qui « se disent « cela ne m’arrivera pas une deuxième fois » » rapporte-t-il avant d’ajouter « et pourtant je pourrais citer de nombreux exemples ».
Pour les dirigeants de petites structures correctement sensibilisées, reste encore à trouver les moyens de se protéger. Chiffrer le coût d’une solution cyber est complexe, puisqu’intrinsèquement variable selon l’exposition de la société, son secteur d’activité, les données manipulées… Gérôme Billois évoque une fourchette d’investissement entre 5 et 10 % du budget informatique, « en dessous de 5, c’est vraiment prendre un risque, arriver à 10 ce n’est pas mal, mais tout le monde n’a pas besoin d’aller jusque-là ». Pour Olivier Morel « s’ils arrivent à mettre quelques milliers d’euros par an, c’est le bout du monde, mais on en est très très loin ». Sans compter l’autre type de ressource potentiellement nécessaire, une personne dédiée à ces questions, « les compétences sont rares et chères dans le monde cyber » pointe David Bécu.
L’alternative pour répondre aux besoins basiques de ce marché particulier est encore d’apporter une solution clefs en main, SaaS, limitant le besoin d’intervention humaine, à coût réduit. « Ce n’est pas simple comme équation, mais aujourd’hui il y a des sociétés, dont des adhérents Hexatrust, qui travaillent sur ces offres-là », fait valoir Olivier Morel. C’est aussi la voie choisie par Dell pour adresser ce marché « avec des choses très simples, en quelques clics, le plus facile possible à administrer, que ce soit par eux ou par un tiers » vante David Bécu.
Si de plus en plus d’acteurs de la cyber s’intéressent aux petites et moyennes entreprises, le chemin est semé d’embûche pour eux également. « Ce qui est complexe c’est l’acquisition, la distribution de ce marché », signale Olivier Morel. Avec un peu moins de 150 000 PME et des millions de TPE en France, dont l’activité est souvent ancrée dans un milieu très local, aller chercher les clients demande beaucoup d’efforts. Associé à l’obligation de proposer des solutions peu chères, et donc avec peu de marge, et donc imposant de travailler sur le volume, et c’est le serpent qui se mort la queue. Quelques semaines avant les Assises de la cybersécurité, une start-up, ProHacKtive, spécialisée sur le marché des TPE-PME a dû mettre la clef sous la porte. Si son fondateur n’en a pas exposé les raisons publiquement, la difficulté d’adresser le marché apparaît comme une explication plausible. « Nous allons nous épuiser » à aller chercher ces entités estime Gérôme Billois.
La cybersécurité n’est pas hors de portée pour autant
Le rapport de l’Institut Montaigne propose une dizaine de recommandations variées pour tenter de répondre au défi de la mise à l’échelle. Favoriser des approches locales, inciter au diagnostic, instaurer une alerte annuelle cyber, rendre accessible les normes cyber autour de quelques fondamentaux… L’enjeu est ici de trouver un équilibre entre l’incitatif et le réglementaire. Co-rapporteur du dossier, Gérôme Billois insiste particulièrement sur la recherche d’effets de levier, seul moyen selon lui de massifier la protection des petites structures. Le principal est celui de la Security by Design, « aujourd’hui c’est frappant, vous achetez un logiciel de gestion comptable, la sécurité n’est pas intégrée. C’est comme dans les années 70 quand, à l’achat d’une voiture, les ceintures de sécurité étaient une option ».
Cette notion, David Bécu, de Dell Technologies, s’en méfie. Il préfère insister « par pragmatisme » sur l’écosystème existant et la responsabilisation de chacun. Il estime que « peut être qu’un jour cela arrivera [la Security by Design], mais aujourd’hui nous n’y sommes pas ». Au contraire, Gérôme Billois voit les choses avancer dans le bon sens. L’Union européenne étudie actuellement un règlement, le Cyber Resilience Act, qui vise justement à imposer une sécurité minimale des produits numériques. L’associé cybersécurité de Wavestone prône également l’intégration une cybersécurité minimum par défaut, notamment chez les opérateurs télécoms.
Sans dégager les petites entreprises de leurs obligations, la gestion des dossiers du personnel ou les droits accès à leur système d’information par exemple, l’idée est de faire monter d’un cran la sécurité de centaines de milliers d’entreprises. Chiffrement, authentification forte, sauvegarde régulière, associé à un bon antivirus, ces mesures de base ne sont pas hors de portées, certaines sont mêmes déjà familières par la fréquentation d’applications bancaires ou de site d’e-commerce. Pour les PME ou ETI, où les impératifs sont plus importants, à l’image des budgets, l’écosystème cyber est là.