DSI de PME industrielles, vous avez l’impression que vous êtes à risque dans le cyberespace ? Vous avez certainement raison. Votre entreprise est au carrefour des trois grosses tendances des cyberattaques ces derniers mois :
- Les PME sont des cibles privilégiées : les vols de données ciblant les PME ont bondi de 20 à 25 % depuis les débuts de la crise du Covid-19, selon une étude réalisée par Orange Cyberdéfense en juin 2020.
- L’industrie est une cible privilégiée : le nombre de cyberattaques dans la santé, l’industrie manufacturière et l’énergie a doublé en 2020, selon le rapport X-Force Threat Intelligence Index 2021 publié par IBM Security, en mars 2021.
- L’Europe est une cible privilégiée : Alex Cresswell, un ancien du GCHQ, estime qu’« en 2021, une vague d’attaques en Europe pour remplacer la perte de revenus cybercriminels aux États-Unis semble plausible ».
Vous sentez que votre entreprise manque de ressource face à tous ces risques ? Voilà quatre arguments pour convaincre votre direction d’adopter une vraie stratégie de cybersécurité, dès maintenant. Et un petit bonus pour vous préparer à cette confrontation.
1. Les PME sont des cibles parfaites, voilà pourquoi :
Elles sont certes moins médiatisées que les WannaCry, NotPetya et autres SolarWinds, mais les cyberattaques visant les PME sont très fréquentes – en France, 4 sur 10 en ont été victimes selon le CPME. Principalement pour deux raisons :
- Les cybercriminels savent qu’elles sont moins bien préparées et se tournent de plus en plus vers elles, maintenant que les grands groupes sont de mieux en mieux protégés.
- Elles peuvent être des portes d’entrée précieuses pour accéder aux grands comptes.
Deux exemples récents, dans notre région :
- Juin 2020 : les 200 ordinateurs de Cadiou Industrie, 467 salariés, basée à Locronan (Finistère), doivent être coupés pendant plusieurs jours, infectés par un ransomware.
- Février 2019 : LVH électronique, à Mordelles (Ille-et-Vilaine), fournissant Bel, Lactalis ou Valeo, se retrouve au chômage technique pendant deux semaines.
2. La seule sécurité périmétrique ne suffit plus, voilà pourquoi :
« On croit toujours que l’on a un antivirus à toute épreuve. Mais les pirates sont plus organisés que les entreprises et les virus plus dangereux qu’on ne le croit », assure aujourd’hui Emmanuelle Legault-Cadiou, PDG de Cadiou Industrie.
Faites comprendre à votre direction que les antivirus, pare-feu et autres outils au périmètre du réseau n’empêcheront pas les types d’attaques ciblant les PME, à savoir : un e-mail vérolé sur lequel on clique par mégarde et qui installe un ransomware. Ces attaques ont augmenté de 400% depuis le début de la pandémie.
3. Oui, notre entreprise est vulnérable, voilà pourquoi :
Pour mettre votre direction face à une situation concrète, vous pouvez arriver avec une preuve de concept montrant le nombre de menaces qui contournent ses protections actuelles. L’offre taillée pour les PME ne cesse de s’étoffer. Il existe des solutions visant à identifier les terminaux de l’entreprise et cartographier les accès internet, sans aller sur des solutions trop complexes, lourdes à mettre en œuvre, à maintenir et à opérer.
4. Vous en aurez pour votre argent, voilà pourquoi :
30 000€. C’est le coût qu’a dû débourser LVH – tout en parvenant à refuser de payer la rançon de 15 000€. Cela peut monter jusqu’à des centaines de milliers d’euros, en cas de fuite de données ou de paiement de la rançon :« 60 % des PME ne se remettent pas d’une attaque par rançongiciel », assurait Michel van den Berghe, d’Orange Cyberdéfense en mars 2021
Et très peu ont souscrit à une cyberassurance – 13 % d’entre elles savent qu’elles existent ! « En 2017, j’avais choisi de ne pas prendre l’assurance cybersécurité », regrette aujourd’hui la PDG de Cadiou Industrie.
Quant aux solutions de cyberprotection, elles ne sont pas toujours inabordables : il en existe de plus en plus pour les PME à des prix raisonnables. La rubrique « Protéger » de l’annuaire BDI permet de lister les sociétés en capacité de proposer des solutions de cyberprotection, y compris développées et proposées par des PME, gage de maitrise des coûts.
Par ailleurs, les produits certifiés/qualifiés par l’ANSSI sont synonymes d’efficacité. Cette approche peut également permettre d’identifier des solutions.
5. Prenez exemple sur les cybercriminels : connaissez bien votre auditoire avant de vous confronter à lui
Combien de fois avez-vous lu des articles à propos de l’ingénierie sociale utilisée par les cybercriminels ? Faites de même ! Soyez au fait de la stratégie de votre entreprise et utilisez-la à votre avantage. Votre entreprise s’apprête-t-elle à racheter une autre, à signer un nouveau sous-traitant ou à ouvrir une nouvelle usine ? Expliquez que cela va agrandir la surface d’exposition et donc augmenter les risques.
Soyez concis, clair et évitez le jargon. On oublie le mot SIEM et on parle d’outil de visibilité sur le parc machine. On bannit le terme DDoS et on lui préfère le concept d’exposition à internet.
Venez avec un objectif précis et non pour vaguement « sensibiliser » votre direction aux risques de cybersécurité. Fixez-vous des objectifs et partagez-en certains avec la direction.
Enfin, jouez sur la corde sensible ! La Bretagne est un territoire en pointe sur les sujets de cybersécurité. Rennes accueille les acteurs étatiques majeurs, le Pôle d’excellence cyber, des champions français du secteur comme Wallix et Sekoia. Il y a fort à parier que votre direction ait croisé celle de ces entreprises lors d’un événement professionnel.