Cybercriminalité et PME : organisez la défense de votre système d’information !

Florian Barraud, consultant informatique au sein du pole informatique de TGS France, livre ses conseils aux PME pour se prémunir des cyberattaques et protéger leur système d'informations.

Partager sur :
cybersécurité

Depuis que les systèmes d’information sont déployés en entreprise, la cybercriminalité a toujours existé. La nouveauté ? Les attaques ne touchent plus seulement les grands groupes. Startups, PME et ETI sont aussi prises pour cibles.

Comment mettre en place une prévention efficace ? Quels sont les risques et les opportunités à saisir ? Et avant tout, qu’est-ce que la cybercriminalité vécue par les PME ? Je partage ici avec vous quelques conseils et retours d’expérience.

Attaques des systèmes d’information des PME : de quoi parle-t-on ?

Les attaques informatiques visibles

Les ransomwares (ou cryptolockers) ont fait pas mal de bruit au printemps 2017. De grandes entreprises, dont Renault, Saint-Gobain, ou Auchan, ont été impactées par les vagues successives d’attaques. Mais de nombreuses PME ont aussi été rançonnées, leur système d’information ayant été piraté. Une étude récente a démontré qu’en France, 7 attaques sur 10 concernent des PME. Avec les ransomwares nous avons affaire à des attaques de masse, pas forcément sur de gros montants. Mais le business est lucratif pour les hackers : plus de 5 milliards de dollars en 2017 ! On peut parler d’une organisation industrielle avec un modèle économique éprouvé…

Parmi les attaques fréquentes, on peut aussi citer le déni de service (saturation du serveur), le défacement de site web, etc.

Parfois, les collaborateurs peuvent directement faire l’objet d’un hameçonnage (phishing en anglais). Par exemple, une personne qui se fait passer pour votre fournisseur habituel vous adresse le mail suivant : « notre RIB a changé, merci de nous adresser désormais les virements sur ce nouveau compte bancaire ». Je vous laisse imaginer les conséquences.

Les attaques invisibles  

Il existe d’autres menaces moins visibles, mais tout aussi dangereuses, telles que les Trojan ou encore les objets connectés. Une cigarette électronique rechargée sur le port USB d’un ordinateur de bureau peut être programmée pour voler des informations contenues sur le disque dur. Encore plus anodin, un casino américain s’est récemment fait dérober toute sa base de données clients par le biais d’un thermomètre connecté d’un aquarium !

Je rencontre aussi de nombreux salariés qui utilisent la version gratuite de Prezi pour créer de jolies présentations. Sans avoir conscience que les présentations créées deviennent ainsi publiques, alors même qu’elles comportent parfois des informations stratégiques sur l’entreprise !

À ce sujet, nous constatons que 40% des pannes et pertes de données sont dues à des erreurs de manipulation.

Quels sont les risques encourus si votre PME est victime d’une attaque ?

Votre entreprise est exposée à plusieurs risques en cas d’attaque sur vos systèmes d’information :

  • Perte de fichiers ou de propriété intellectuelle,
  • Perte d’exploitation, lorsque la production est assistée par ordinateur par exemple,
  • Perte de confiance des clients si vous vous êtes fait voler leurs données par exemple, qui peut emmener l’entreprise jusqu’à la faillite.

Alors, on cède à la paranoïa ? Pas si vous organisez ce plan de prévention en trois étapes !

Management des systèmes d’information : mettre en place un plan de prévention en 3 temps

Ma recommandation pour les PME se résume en trois points :

  1. Identifier un responsable de la sécurité informatique formé au risque et à la gestion de crise. Il aura pour principales missions de définir la politique de sécurité, de veiller à son respect et de la faire évoluer en fonction des nouveaux risques pour garantir la pérennité du système et des données en cas de sinistre. Ce peut être une personne en interne, ou bien votre prestataire informatique.
  2. Sensibiliser les utilisateurs. Car ils sont les derniers maillons de la chaîne. On peut avoir tout prévu, mais on ne peut rien contre une mauvaise pratique des utilisateurs : ouverture d’un mail frauduleux, téléchargement d’un fichier infecté, consultation d’un portable dans un lieu exposé… Ce n’est pas systématique dans les PME, pourtant il me semble indispensable de rédiger une charte informatique qui soit acceptée par les collaborateurs, et annexée au règlement intérieur. Cette charte doit à minima  rappeler les risques liés aux outils informatiques, et délimiter un cadre pour l’utilisation des outils professionnels dans un cadre personnel.
  3. Enfin, je préconise à mes clients de veiller aux contrats avec leurs prestataires de services, tout particulièrement les hébergeurs. Il est essentiel qu’ils puissent vous garantir une réversibilité, un moyen de récupérer vos données si vous souhaitez changer de fournisseur.

Réaliser un audit de système d’information une fois par an

Je vous recommanderais de faire réaliser un audit des systèmes d’information une fois par an par un prestataire informatique. L’objectif est de déterminer ce qui marche et ce qui marche moins bien, avec un plan d’action correctif à la clé. Petit conseil : pour réaliser cet audit informatique, allez chercher la contradiction et soyez critique vis-à-vis de votre prestataire habituel !

La sécurité des SI, avantage concurrentiel pour les PME ?

Une étude récente a démontré que 85% des Français sont préoccupés par leurs données personnelles. Je crois que les entreprises qui sauront rassurer leurs clients et inspirer confiance à leurs prospects auront un avantage concurrentiel sur les autres. Cela passe notamment par un management sécurisé du système d’information.

Ma recommandation ? Indiquez à vos clients ce que vous avez mis en œuvre en matière de sécurité informatique ! Dites-leur que :

  • Vous savez où sont stockées leurs données,
  • Vous avez mis en place une charte informatique
  • Vous vous êtes doté d’une politique de sécurité des systèmes d’information,
  • Vous une avez une personne référente à la protection des données dans le cadre de la conformité au RGPD.

Alors, prêts à défendre votre système d’information ?

Notre accompagnement à la sécurisation de votre système informatique

Audit SI

Audit des systèmes d’informations

En savoir plus

Conseil en systèmes d'information

En savoir plus
Rédigé par

Florian BARRAUD Expert informatique TGS France