Guide de cybersécurité à destination des dirigeants de TPE, PME et ETI : bonnes pratiques et réflexes à adopter en cas de cyberattaques

La menace d’une attaque numérique constitue un défi majeur pour les TPE-PME

La numérisation des entreprises françaises accompagne leur croissance, offre des gains de productivité importants, soutien leur compétitivité, etc. Mais elle est aussi source de nouvelles menaces. Et la généralisation du télétravail, dans le cadre de la crise sanitaire constitue une aubaine pour les pirates informatiques qui ont notamment multiplié les tentatives de phishing (ou « hameçonnage »).

Selon une étude de l’assureur spécialisé Hiscox, la proportion des entreprises françaises ciblées par une cyber-attaque, est passée de 34% à 49% durant l’année. Certaines d’entre elles en ont subi plusieurs. De son côté, l'éditeur de sécurité Proofpoint, dans une étude alarmante relayée par BFM TV, estime que 91 % des organisations françaises ont été victimes d’une attaque informatique au cours de l'année écoulée et qu’elles sont 65 % a avoir été ciblées à plusieurs reprises.

Les TPE et PME ne sont pas épargnées. Si elles ont, de plus en plus, conscience de la nécessité de se protéger contre les menaces numériques, elles continuent de percevoir le sujet de la cybersécurité comme abstrait, très technique, complexe et coûteux. Et leur retard dans la mise à niveau de leurs équipements informatiques, en font des cibles de choix.

Ainsi, si neuf entreprises françaises sur dix estiment qu’il est essentiel de se prémunir contre les attaques informatiques, une TPE-PME sur deux ne sécurise pas ses postes de travail et une sur trois n’utilise même pas d’antivirus. Un décalage mis en lumière par une récente étude menée par l'Ifop pour la société de conseil en cybersécurité F-Secure.

Ainsi, la plateforme Cybermalveillance.gouv.fr a enregistré, en 2020, plus de 10 000 demandes d’assistance de la part d’entreprises ayant subies une attaque.

Le manque de préparation des petites et moyennes entreprises, les rend particulièrement vulnérables, et les oblige à faire face à des conséquences souvent dramatiques. Les actions malveillantes prennent des formes multiples :

• attaques web (intrusion, vol de données) ;
• propagations de programmes malveillants (via site web ou email) ;
• rançongiciels ;
• hameçonnage (vol d’identifiants) ;
• hameçonnage ciblé (fraude au transfert de fonds) ;
• vol de données (revente au marché noir).

Ces attaques se soldent très souvent par une demande de rançon, un vol de données sensibles ou encore une indisponibilité des équipements. La reprise d’activité, lorsqu’elle est possible, est souvent longue à mettre en œuvre, coûteuse et très éprouvante pour les dirigeants et leurs collaborateurs.

Les conséquences touchent aussi souvent les partenaires de l’entreprise et ses clients et fragilise la confiance qui les lie.

Un guide simple, pratique et pédagogique pour les petites et moyennes entreprises

Ce guide de sensibilisation regroupe l’essentiel des bonnes pratiques en sécurité numérique à destination des dirigeants et de leurs collaborateurs. À partir de conseils simples, il permet de développer une véritable culture de la cybersécurité au sein d’une entreprise et de mettre en place des mesures pour se protéger en cas d’attaque.

Pratique et pédagogique, le guide est construit autour de quatre chapitres.

Cybersécurité, quels enjeux pour les TPE, PME et ETI

Cette partie fait un état de la menace qui pèse sur les entreprises françaises et analyse les raisons, en dépit de la prise de conscience émergente, qui empêchent les petites organisations de passer à l’action. Pour chacune d’elles des propositions d’actions concrètes sont formulées.

Le guide insiste sur le fait que la protection de l’entreprise passe moins sur un investissement important dans des solutions techniques que sur des actions simples et peu onéreuses : c’est la cyber-hygiène, un ensemble de gestes simples et de comportements à adopter par tous les salariés.

Sont aussi abordés, les préjudices auxquels est exposée l’entreprise en cas de cyberattaque : préjudice financier, en termes de réputation ou encore l’impact sur les équipes éprouvées par la crise et la mobilisation qu'elle exige.

Surtout, le document insiste sur la création de valeur pour l’entreprise générée par une démarche de cybersécurité, à la fois en interne pour améliorer l’organisation et moderniser les systèmes d’information, qu’en en externe comme facteur différenciant pouvant servir d’argument commercial.

Connaître et identifier les cyberattaques

Cette partie présente les différents types de cyberattaques, avec leur risque de survenue,  donne des éléments pour identifier les signaux permettant de les détecter. Pour chaque type d’attaque, une liste d’actions à mettre en œuvre est proposée ainsi qu’un témoignage d’une entreprise victime :

1. Rançongiciel
2. Intrusion dans les systèmes d’information
3. Piratage de compte
4. Usurpation d’identité
5. Hameçonnage
6. Déni de service
7. Fraudes au virement (FOVI)
8. Défiguration de site Internet

Se prémunir

Cette partie insiste sur les mesures de prévention à mettre en place. Elle doit s’appuyer en premier lieu sur la diffusion d’une culture de la cybersécurité au sein de l’entreprise. La sensibilisation des collaborateurs est la mesure essentielle pour les accompagner dans la prise de conscience des comportements à risques et dans l’adoption des bons réflexes. Cette culture de la cyber-hygiène doit aussi être étendue aux fournisseurs, sous-traitants, clients, partenaires commerciaux, prestataires...

Elle passe aussi par le fait de nommer un référent cyber-sécurité au sein de l’entreprise, idéalement au sein du comité de direction.

Quelles sont les 6 règles simples et efficaces pour adopter la cyber-hygiène ? 

1. Sensibilisez vos collaborateurs
2. Gérez vos mots de passe de façon professionnelle
3. Mettez à jour vos appareils, vos logiciels et vos antivirus
4. Évitez les comportements à risque
5. Sauvegardez vos données
6. Mettez en place des garde-fous

Réagir face à une cyberattaque : les étapes à suivre

Cette partie présente les bons réflexes à adopter en cas de cyberattaque. Elle détaille les actions à mener dès les premiers instants de l’attaque pour :

• sécuriser : quelques actions simples, réalisées dans le calme, vous permettront de désamorcer la situation. Comme lorsqu’on arrive sur un lieu d’accident, la première mesure à prendre est d’éviter que la situation ne s’aggrave ;
• alerter : une fois la situation figée, il faut donner l’alerte rapidement (collaborateurs, partenaires, banque, etc.) et prévenir les services compétents (DSI, prestataire informatique, expert cyber-sécurité, etc…) ;
• remédier : avant d’envisager toute reprise d’activité même partielle, il est absolument primordial d’identifier la source et l’étendue de l’attaque. Ensuite, mobilisez une équipe de réponse à la crise et déclenchez votre Plan de Continuité de l’Activité (PCA). La reprise peut nécessiter selon les cas quelques heures… voire plusieurs semaines.

Être accompagné : focus sur deux dispositifs proposés par Cybermalveillance.gouv.fr et Bpifrance

En partenariat avec l’AFNOR et les organisations professionnelles, Cybermalveillance.gouv.fr a lancé le label ExpertCyber, pour aider les entreprises a identifier un professionnel labellisé ExpertCyber depuis la plateforme Cybermalveillance.gouv.fr.

Bpifrance propose différents dispositifs gratuits à destination des chefs d’entreprise, comme le diag cybersésurité, un outil d’autodiagnostic en ligne pour évaluer le niveau de maturité de leur entreprise sur le sujet. Une série de contenus (webinaire, formation en ligne, etc.) sur le thème de la sécurité numérique est également accessible sur sa plateforme de formation à destination des entrepreneurs : Bpifrance Université.

Enfin, France Num propose une liste de professionnels dans votre région, susceptibles de vous accompagner. Interrogez notre moteur de recherche accessible via le formulaire ci-dessous.

En savoir plus

• Guide de cybersécurité à destination des dirigeants de TPE, PME et ETI (cybermalveillance.gouv.fr ; pdf)
• La cybersécurité pour les TPE/PME en 12 questions
• Les cyberattaques ont été multipliées par 4 en 2020 (bpifrance.fr)