Si le monde de l’entreprise a pris conscience des risques cyber, notamment dans un contexte sanitaire qui favorise le télétravail, un constat s’impose : dans ce domaine, les petites structures manquent de maturité. En effet, deux TPE / PME sur cinq ont déjà subi des tentatives d’intrusions ou des attaques effectives, et 71 % d’entre elles ont été contraintes à mettre fin à leur activité suite à une cyberattaque (selon une enquête de la CPME relayée ici). Pourquoi les TPE / PME sont-elles des cibles idéales pour les pirates informatiques ? Comment expliquer cette faible culture de la cybersécurité ? On fait le point.

Les TPE / PME : des cibles parfaites pour les cyber-pirates

En France, les 3,5 millions de petites et moyennes entreprises représentent 99,8 % du paysage entrepreneurial (ministère de l’Économie). En soi, cette statistique écrasante explique que les TPE / PME soient si souvent visées. Mais les hackers profitent aussi de conditions « idéales » : des processus sécuritaires moins rigoureux et des systèmes de protection mal adaptés.

Des processus sécuritaires moins rigoureux

En matière de cybersécurité, on désigne généralement les grands groupes comme les cibles naturelles des pirates informatiques. C’est pourtant une fausse idée. Car, pour les hackers, il est infiniment plus simple de s’introduire dans les SI des petites structures que de franchir les protections des multinationales.

C’est d’autant plus vrai que les processus sécuritaires y sont moins rigoureux. Un tiers seulement des TPE / PME déclare disposer d’un spécialiste informatique dédié à la cybersécurité ; le plus souvent, c’est le chef d’entreprise qui s’en charge (dans 41 % des cas), un acteur tiers (8 %), ou bien personne. Plus l’entreprise est petite, et plus cet enjeu est négligé. (Source : étude Ifop pour Xerfi, décembre 2021).

Conséquence : en cas d’attaque, les délais de prise en charge sont très étendus. Selon l’ANSSI et l’AMRAE, il se passe 167 jours en moyenne entre une intrusion et sa détection… Ce qui laisse amplement le temps aux hackers de causer des dégâts irréversibles.

Des solutions de protection mal adaptées aux TPE / PME

Conscientes des risques, les petites et moyennes entreprises mettent en place des digues, mais celles-ci restent mal adaptées à leurs besoins. Trop souvent, l’antivirus constitue la seule protection intégrée au système d’information : 97 % des TPE / PME utilisent ce genre de solution, 88 % un pare-feu, 79 % un système de sauvegarde des données en interne, et 60 % un outil de backup externe (Ifop/Xerfi).

C’est insuffisant, mais l’on peut se risquer à avancer une explication : les solutions plus élaborées sont difficilement accessibles en raison d’une offre peu compréhensible et souvent onéreuse. En outre, de nombreux prestataires de services en cybersécurité proposent des offres mal adaptées, préférant se focaliser sur les grands comptes et créant un mécanisme de protection cyber à deux vitesses.

À cela, il faut ajouter une réalité : dans l’univers des petites et moyennes entreprises, la culture cyber est tout simplement moins ancrée.

Une faible culture de la cybersécurité dans les petites et moyennes entreprises

On peut expliquer cette faible culture de quatre manières. Explorons-les !

1. Des risques cyber souvent minimisés

Il existe un problème de perception du risque au sein des TPE / PME. 77 % des répondants au sondage Ifop/Xerfi estiment que les petites structures sont rarement touchées par les attaques cyber. Plus grave : elles sont 75 % à évaluer leur propre profil de risque comme « assez faible », voire « très faible ». Dans le même esprit, 80 % s’estiment « bien protégées » contre ces risques.

2. L’absence d’obligations réglementaires ?

S’il existe des obligations réglementaires, celles-ci se focalisent sur les grandes structures, les acteurs publics et les Opérateurs de Services Essentiels. C’est le cas de la directive européenne NIS 2. Ce faisant, les petites et moyennes entreprises se sentent moins concernées – même si le RGPD, dont les dispositions s’appliquent à tous de la même manière, a contribué à changer la donne.

3. Un travail de sensibilisation encore balbutiant

Le rapport de l’ANSSI sur la cybersécurité des TPE / PME le montre bien : seule une TPE sur cinq mène, en interne, des campagnes de sensibilisation aux enjeux des risques cyber. Selon Ifop/Xerfi, les actions préventives simples, comme le changement régulier des mots de passe, ne concernent qu’une minorité de TPE / PME. Or la sensibilisation d’une part, et la formation d’autre part, restent des préalables incontournables pour bâtir un environnement informatique sécurisé et stable.

4. Des investissements limités

Enfin, on note un manque criant d’investissements. Les arguments qui justifient cette timidité sont fréquemment contrefactuels : 56 % des chefs d’entreprises surévaluent le coût d’une protection efficace à plus de 100 euros par mois, alors que de nombreux outils proposent des offres sécurisées pour bien moins cher. Plus encore : le ratio investissement/risques est largement sous-évalué, puisque le coût médian d’une cyberattaque sur les PME est estimé à 9 000 euros, et peut grimper jusqu’à 500 000 euros ! Le diagnostic est donc sans appel : les TPE / PME sont mal préparées aux risques cyber. Heureusement, aussi alarmant soit-il, ce constat n’est pas dénué d’espoir : à condition de mettre en place les pratiques adéquates, les petites et moyennes entreprises sont en mesure de contrer cette fatalité. Ce sera l’objet d’un prochain article.

Par secteur

Santé

Services publics

Énergie

Aérospatiale & Défense

Infrastructures critiques

Services financiers

Par département

Marketing & Ventes

R&D et Ingénierie

Risques et conformité

Services Financiers

Juridique

Ressources Humaines

Sécurité de l’information