Améliorer la cybersécurité de sa TPE PME : comment s’y prendre ?

La numérisation qui profite aux entreprises pour gagner en visibilité, trouver des clients ou améliorer leur fonctionnement, expose dans le même temps les TPE PME, quel que soit leur secteur d’activité, à de nouveaux risques. Les menaces en ligne se multiplient et n'épargnent pas les petites entreprises . 

Mettre en place des mesures de cybersécurité est devenu indispensable pour protéger son entreprise contre des attaques informatiques qui sont de plus en plus diversifiées (vols de comptes, violations de données, systèmes inaccessibles, etc.). Si les chefs d'entreprise sont de plus en plus conscients des risques, ils ont plus de difficultés à évaluer les conséquences d'une cyberattaque : coût de la remise en état et de la reconstitution du système d’information, chute du chiffre d’affaires, perte de confiance des clients et parties prenantes...

Ce dossier présente un ensemble d’actions concrètes, accessibles, et adaptées aux enjeux et spécificités des TPE PME, afin de réduire très sensiblement le risque numérique, auquel ils sont exposés. 

Une démarche effective pour réduire le niveau d’exposition aux risques cyber de sa TPE PME

Bien des TPE PME sont très vulnérables aux menaces en ligne. Face à ces risques 78 % se disent insuffisamment préparées (46 %) ou les ignorent (32 %) et 7 entreprises sur 10 ne disposent pas de procédure de réaction, selon Cybermalveillance.gouv.fr. 

Les dirigeants d'entreprise ne disposent dans 72 % des cas d’aucun salarié en charge de la cybersécurité. Dans ces conditions, ils ne savent souvent pas par où commencer ni comment procéder pour sécuriser leur TPE PME. Ce dossier présente une démarche effective pour sécuriser sa TPE PME. Il doit vous permettre de savoir : 

• comment mettre en place une organisation appropriée pour se protéger contre les menaces en ligne ? 
• quelles mesures de sécurité mettre en œuvre, qu'elles soient organisationnelles, opérationnelles ou techniques ? 
• comment définir et piloter un programme de maîtrise des risques numériques ? 

La feuille de route proposée constitue une démarche simplifiée, résolument adaptée à la situation d’une TPE ou d’une PME qui initie l’exercice de sécurisation, sans compétence particulière. Elle doit lui permettre, en partant de zéro et avec un très faible budget, de réduire ses risques cyber d’un ordre de grandeur.

Sécuriser son entreprise : une démarche en 4 phases

La démarche effective est découpé en 4 phases successives (dont les 2 premières peuvent être menées en parallèle) : 

1. le diagnostic, pour se faire une première idée de son niveau de maturité cyber ;
2. l’analyse de risque, pour prioriser les risques numériques à prendre en compte ;
3. l’identification des mesures de sécurité, pour traiter chaque risque inacceptable ; 
4. la mise en œuvre du plan de sécurisation, pour déployer les mesures. 

Mettre en place ces actions doit permettre à la TPE PME d’atteindre un niveau de protection qui la prémunisse contre les attaques cyber les plus répandues. 

Réaliser un diagnostic cyber pour évaluer son niveau d’exposition aux menaces en ligne

Le dirigeant de TPE PME ou éventuellement le porteur du projet de sécurisation de l’entreprise (collaborateur interne ou prestataire) doit tout d’abord évaluer le niveau de maturité cyber de l’entreprise au regard de son contexte et des mesures de sécurité déjà en place. 

Profiter d'un diagnostic cyber gratuit

Plusieurs dispositifs permettent de se faire accompagner gratuitement par un professionnel pour effectuer un diagnostic cyber de premier niveau. Celui-ci vous aidera à identifier des pistes d’amélioration significatives de votre posture cyber et à amorcer votre démarche de sécurisation. 

Parmi les principaux dispositifs proposés, les principaux sont : 

D'autres dispositifs peuvent être mobilisés. Pour en savoir plus, consultez la fiche pratique : 

• Quelles sont les aides financières et dispositifs pour améliorer la cybersécurité des TPE et PME ?

Faire une première estimation de son niveau de sécurisation en interne

Cette étape de diagnostic peut aussi se faire en interne, si l’entreprise dispose d’un minimum de compétence cyber ou d’une personne prête à se plonger dans quelques référentiels. 

Pour vous aider, un certain nombre de ressources sont à votre disposition. Elles vous permettront de connaître les principales règles de l'art conseillées pour sécuriser les TPE PME et d'identifier votre niveau de conformité : 

• La cybersécurité pour les TPE/PME en treize questions 
• Guide pratique de sécurité numérique pour les PME-PMI, collectivités et petites organisations 
• Guide des bonnes pratiques de l’informatique pour les TPE/PME
• Guide de cybersécurité à destination des dirigeants de TPE, PME et ETI : bonnes pratiques et réflexes à adopter en cas de cyberattaques

Profitez aussi des nombreux dispositifs pour vous former à la cybersécurité : 

• Quelles sont les formations à la cybersécurité pour les TPE et PME ? 

Procéder à l'analyse de risques pour définir ses priorités cyber

Chaque risque est caractérisé par une menace à laquelle votre entreprise est exposée auquel peut être associé un scenario d’attaque exploitant une vulnérabilité, ainsi qu'un impact négatif. 

L’analyse de risques consiste à :

• identifier les principaux risques pesant sur l’entreprise, à les mesurer en termes de vraisemblance et d’impact sur l’entreprise, 
• définir, pour les plus importants d’entre eux, considérés comme inacceptables, les mesures de mitigation à déployer en regard, pour limiter ce risque.

Toute analyse de risques débute par un inventaire des actifs informationnels clés, qu’il s’agisse des données elles-mêmes ou des supports qui les contiennent (ordinateur, serveur, service dans le cloud, application informatique, support de stockage…). 

Cet inventaire identifie les responsables de chaque actif et en précise la criticité (le degré d'importance pour l'entreprise) et la sensibilité (le niveau de risque associé à sa compromission ou divulgation) : on ne mettra pas forcément autant d’efforts dans la sécurisation de son site web que de sa base de données clients ou de son outil de production. 

On détermine ensuite le degré d’exposition aux risques des principaux actifs (plus ou moins directement reliés à l’internet, plus ou moins facilement accessibles de l’extérieur ou à l’ensemble du personnel…) et leur degré de vulnérabilité (contrôle d’accès, chiffrement, mises à jour, sauvegardes…). 

En parallèle, il convient de lister les principales menaces qui pèsent sur ses actifs (malveillantes ciblées ou d’opportunité, involontaires, accidentelles, technologiques…) et d'élaborer quelques grands scenarios d’atteinte à la confidentialité, l’intégrité ou la disponibilité des actifs. Pour chaque scénario, il faut estimer l’ampleur de l'impact de chacun d'eux pour l'entreprise, en termes financiers, réputationnels, juridiques, etc. Là encore, nul besoin d’exhaustivité ou de détails, l’essentiel est de retenir des scenarios types pour vous aider évaluer les mesures de sécurité couvrant la plupart des cas de figure. 

Cet inventaire doit vous aider à dresser une liste des principaux risques cyber à prendre en compte et à les évaluer, en termes de vraisemblance et d'impact, pour pouvoir identifier les risques cyber à prendre en charge en priorité. 

En général, on arrive assez vite à identifier quelques risques clés (ceux qui combinent impact élevé et vraisemblance significative), insuffisamment couverts par les dispositifs de sécurité en place, qui devront faire l’objet d’un traitement des risques, par la mise en place de mesures de mitigation. 

Comment s'y prendre pour mener l'analyse de risques ?

Cette étape d’analyse de risques peut plus difficilement se faire en interne, car l’analyse de risque exige un minimum d’expérience et de recul. Néanmoins, l’analyse requise pour une PME sera généralement assez sommaire et ne nécessitera que très peu de jours d’un intervenant professionnel.

Identifier les mesures de sécurité à mettre en œuvre

Risque par risque, le porteur du projet identifie des mesures réalistes de mitigation, préventives ou réactives, qui peuvent faire significativement baisser soit l’impact, soit la vraisemblance du risque, soit les deux. 

Ces mesures, qui permettront d’atténuer drastiquement les plus critiques de ces risques, peuvent relever :

• de la gouvernance de l’entreprise : stratégie, politique, organisation et rôles, contrôles et audits… ;
• de ses processus et opérations : inventaire de l'informatique, journalisation (pour l'analyse de l'activité), mises à jour et sauvegardes, surveillance du système d'information, gestion des incidents… ;
• des ressources humaines : sensibilisation et formation, gestion des droits d’accès, charte informatique… ;
• des solutions technologiques : outils de sécurité, authentification, protection des machines, segmentation réseau, chiffrement… ;
• ou des tiers : assurance, exigences contractuelles et audits, services de veille et d’analyse des vulnérabilités….

L’ensemble des fonctions de l’entreprise doivent être impliquées dans la mise en œuvre des mesures de sécurisation cyber. Au-delà de la fonction en charge des systèmes d’information, il est indispensable d’associer les fonctions financières, techniques, en charge des achats ainsi que bien sûr les métiers opérationnels de l’entreprise. 

Les mesures identifiées peuvent aussi conduire à l’élaboration de plans permettant à l’entreprise d’être mieux préparée aux aléas : 

• plan de gestion des incidents ; 
• plan de gestion de crise ;
• plan de secours ;
• plan de continuité ;
• plan de reprise d’activité.

Comment s'y prendre pour identifier les mesures de sécurité ?

Cette étape d’identification des mesures de sécurité peut éventuellement se faire en interne dans les cas simples, si l’entreprise dispose d’un peu de compétence en sécurité ou en informatique. 

Dans les cas un peu plus complexes, l’intervention d’un professionnel sera précieuse pour que les mesures identifiées soient homogènes, cohérentes entre elles et avec le risque à traiter. Là encore, pour une PME, l'analyse ne nécessite généralement que très peu de jours d'intervention de la part d’un professionnel. Pour les cas les plus simples elle peut même se faire en quelques heures sous la forme d’une démarche de coaching.

Mettre en œuvre le plan de sécurisation cyber

Les dirigeants craignent souvent que les coûts d’un plan de sécurisation soient élevés, sans espoir de retour sur investissement. En fait, comme on peut le voir à la lumière des quelques exemples mentionnés ci-dessus, les coûts sont généralement faibles. Par exemple, il est possible de sécuriser un poste de travail pour quelques euros par mois, voire quelques dizaines d’euros si l’on déploie des mesures de sécurité ambitieuses, s'appuyant sur du service managé. 

Bien sûr le temps (et donc le coût) nécessaire au déploiement et au pilotage du plan de sécurisation n’est pas négligeable. Mais le retour sur investissement, mesuré par le coût des sinistres statistiquement évités, peut être considéré comme globalement rapide au vu des conséquences que peut avoir une cyberattaque.

Comment s'y prendre pour mettre en place le plan de sécurisation ?

Le porteur du projet de sécurisation cyber de la TPE PME doit assembler et prioriser les mesures identifiées dans un plan de sécurisation qui liste les actions à mettre en place et identifie pour chaque action, le(s) responsable(s) et les équipes impliquées, ainsi que le calendrier de déploiement. 

Il est essentiel que le suivi du plan de sécurisation et son pilotage dans la durée soient assurés par le dirigeant lui-même. L’implication du dirigeant est essentielle afin que le plan soit effectivement mis en œuvre et ne s’ensable pas dans la vie de l’entreprise. 

Cette étape de mise en œuvre du plan de sécurisation se fait souvent en interne, en liaison avec les personnes en charge de l'informatique en interne ou les prestataires informatique de l’entreprise. 

Bien sûr, pour les cas un peu plus complexes, l’intervention d’un professionnel pourra être précieuse pour apporter une vue globale qui aille au-delà des aspects strictement informatiques. En effet, d'autres aspects liées à la gouvernance, aux processus, aux ressources humaines ou aux contrats, ont un impact sur la sécurité. C'est par exemple le cas quand des escrocs exploitent des failles dans l'organisation de l'entreprise pour réaliser des fraudes aux virements. 

Le conseil de l'expert

Tout dirigeant de TPE PME doit s'interroger sur la sécurité cyber de son entreprise et se poser quelques questions simples : 

• mes données ont-elles de la valeur ? 
• ai-je des inquiétudes quant à leur niveau de protection numérique ? 
• leur disparition ou leur divulgation aurait-elle de graves conséquences pour mon entreprise ?
• sans outils numériques mon entreprise pourrait-elle continuer à son activité ?
• quel serait le préjudice d'une interruption d'activité d'origine cyber pour mon entreprise ? 

Répondre à ces questions conduit généralement à prendre conscience de la nécessité de renforcer sa posture cyber. Cela passe par le fait de connaître les risques qui pèsent sur votre TPE PME, à identifier les quelques mesures de sécurisation indispensables qui doivent être mises en œuvre rapidement. Le plus souvent les démarches à effectuer sont simples, peu onéreuses et efficaces.

Dirigeant de TPE PME, lancez-vous ! Seul, avec vos moyens propres, ou bien avec l'aide d'un expert cyber qui vous accompagne. Améliorer votre posture cyber est indispensable à la pérennité de votre activité et la tranquillité de votre esprit.

Dossier réalisé par Yves Le Floch, Activateur France Num. Yves Le Floch Conseil accompagne les TPE PME dans la prise en compte de leurs risques numériques propres et le renforcement de leur cybersécurité.