Le numérique est partout, il nous aide et nous accompagne.
Les Dirigeant(e)s savent à quel point ces outils sont désormais incontournables ; à l’instar d’un voiture pour un chauffeur de taxi.
Aujourd’hui il n’est plus question de se passer de nos petits outils forts sympathiques, mais tout n’est pas sans risque si des mesures appropriées ne sont pas déployées.

La sécurité informatique : Un enjeu majeur

Les actes de Cyber-malveillance se sont également invités dans la partie. Le dernier baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), qui regroupe plus de 500 experts et dont un des objectifs est de « sensibiliser usagers et décideurs aux enjeux de la sécurité de l’information », fait ressortir plusieurs axes de réflexions. Ce club regroupe essentiellement des Responsables Sécurité Informatiques (RSSI), donc les données de cette étude concernent majoritairement les entreprises faisant appel à cette fonction ; rares sont les PME qui en sont équipées. Nous pouvons malheureusement craindre que les chiffres ne soient pires pour les TPE et les Indépendants.

Vous trouverez sur le site du CESIN, de nombreux articles et autres données clés sur la sécurité numérique et les évolutions des pratiques.

Aujourd’hui plus de 8 entreprises sur 10 ont été victimes d’au moins une Cyber-attaque, plus inquiétant, 1/3 des entreprises auraient subi plus de 10 attaques au cours de l’année.

Les impacts sur les affaires peuvent être considérables. Si 23 % des entreprises sondées déclarent une indisponibilité de leur site web durant une période significative (gênant lorsque l’on fait du e-commerce), 12 % admettent que des retards sur la livraison des clients étaient constatés.

Votre prestataire, Créateur de site, Hébergeur, a certainement déployé toutes les protections possibles ; ça c’est la porte blindée. Il a donc mis une superbe serrure et vous a remis les clés ; votre site est protégé… mais que se passe-t-il si vous laissez les clés sous le paillasson ?

La TPE : Une cible de choix des actes de cyber-malveillance

Alors ces données ne reflètent peut-être pas la réalité des TPE… J’entends souvent des remarques me signalant, avec conviction, que les TPE ne sont que très peu concernées du fait de leur taille.

  • Partons d’un exemple concret, une attaque visant une grande entreprise :
    • Complexité de l’attaque : Élevée compte tenu du fait des protections mises en place.
    • Délai de mise en œuvre : Environ 10 mois
    • Compétences nécessaires : Élevées afin de contourner les sécurités de l’entreprise.
    • Victime potentielle : 1
    • Gains potentiels : 1 000 000 €
  • Second cas de figure : Attaque visant 10 000 TPE, Indépendant(e)s, Libéraux
    • Complexité : Faible compte tenu du niveau de sécurité des cibles potentielles.
    • Délai de mise en œuvre : 1 mois
    • Compétences nécessaires : Faible car des solutions « prêt à l’emploi » peuvent être louées.
    • Victimes potentielles : 5 %, soit 500
    • Gains potentiels : En partant sur une rançon à 750 € (malheureusement bien en-dessous de la réalité), 375 000 €

Il est vrai que les gains sont moindres dans le second cas, mais la rentabilité de l’action est sans commune mesure.

Mais malheureusement les frais liés à l’arrêt de l’activité eux ne sont pas compris dans la demande de rançon. Changer le matériel, restaurer ses sauvegardes, réinstaller les logiciels… tout cela représente un coût qui est souvent « oublier ».

Aujourd’hui, nous devons nous interroger sur ce que nous pouvons faire. Le CESIN met en avant une action de « SENSIBILISATION », les pouvoirs publics font de même.

Les TPE sont bien des cibles de choix, et plusieurs facteurs permettent d’accentuer ce positionnement :

  • Tout d’abord, elles n’ont pas forcement les ressources en internes pour s’assurer un niveau de sécurité acceptable. Combien ont réalisé des mises à jour logicielles et matérielles au cours de l’année.
  • Ensuite, les Dirigeant(e)s n’ont pas de temps à consacrer à ces notions de sécurité numérique .
  • Troisième point constaté, les Dirigeant(e)s n’appliquent pas forcément, pour des raisons budgétaires, voire pire , de confiance, les recommandations de leurs prestataires.
  • Le point quatre se révèle plus impactant. En effet, un grand nombre de TPE, Indépendants, utilisent un Cloud « grand public » pour sa praticité et le fait d’avoir une sauvegarde opérée par un prestataire « gratuitement ». Ces solutions engendrent une perte totale de maîtrise de l’entreprise sur cet outil. Ce type d’outil « grand public » n’est par ailleurs pas forcément compatible RGPD car aucun contrat ne vient « sécuriser » les données stockées et les usages qui peuvent en être fait par des tiers..
  • Enfin, bien qu’il existe des tas de points qui mériteraient d’être détaillés, les entreprises se considèrent bien souvent protégées car elles disposent d’une solution antivirus. Ces solutions sont indispensables certes, mais elles ne protègent pas de tout et la faille humaine est la plus utilisée dans les actes de Cyber-malveillance.

Sécurité informatique : Qu’est-il vraiment possible de faire ?

Tout d’abord, équipez-vous correctement en suivant les préconisations de votre prestataire ; il vous connaît et se doit d’agir en « Homme de l’art ». Ensuite, vous devez élaborer une solution de sauvegarde qui soit conforme aux règles de sécurités informatiques mais également conforme « RGPD ».

Une fois ces deux points étudiés, il est essentiel que vous vous formiez, ainsi que l’ensemble de vos collaborateurs. En effet, vous avez tous accès à une source numérique ; vous vous devez d’être le premier rempart de la forteresse numérique que doit être l’entreprise.

Vient ensuite la question des mots de passe. Ce sujet mériterait à lui seul un livre ! Dans plus de 65 % des PME, les mots de passe ne sont modifiés, lorsqu’ils le sont, qu’une fois par an ou plus rarement encore… Pour faire simple, posez-vous quelques questions :

  1. Votre mot-de-passe est-il simple à deviner ? Par simple il faut entendre peut-on le déduire de vos actions sur les réseaux sociaux (nom d’un enfant, d’un animal de compagnie, date de naissance, code postal…) ou fait-il simplement partie des mots de passe « stars » comme « 12345678 »,  « motdepasse » ou « password » ou…
  2. Votre mot de passe est-il à usage unique ou non ?
  3. Avez-vous noté vos mots de passe sur un support et, dans l’affirmative, est-il protégé et accessible que par vous seul ?

Pour ceux qui ont des salarié(e)s, combien de fois êtes-vous sollicité(e) par vos collaborateurs pour réinitialiser un mot de passe ? Alors là, plusieurs cas de figure :

  •  Jamais… si vous n’avez pas de solution pérenne, méfiance, les mots de passe répondent certainement oui à une des questions précédemment posées.
  • Souvent… génial, votre collaborateur a passé énormément de temps à essayer de se souvenir d’un mot de passe ; pour faire simple, il est en partie payé pour essayer de retrouver ses mots de passe…c’est un modèle économique comme un autre !!!

Formez-vous à la cyber sécurité avec Nicolas Magro

Notre formation, référencée DataDock, sur la sécurité numérique, volontairement orienté « utilisateur » et TPE, aide à sécuriser et optimiser le système d’information des entreprises. La question des mots de passe est un des axes avec la présentation d’un outil Opensource qui vous permet de maîtriser tous vos mots de passe rapidement. Je reprendrai les termes d’une Dirigeante qui a suivi la formation, « C’est comme un airbag, ça ne sert à rien sauf le jour où on en a besoin… ».

En tant que Délégué à la Protection des Données (DPO), enregistré auprès de la CNIL, j’accompagne les TPE dans leur mise en conformité afin que ces dernières puissent identifier leurs axes d’améliorations mais également les leviers commerciaux que peut représenter une mise en conformité RGPD ; si nous avons tous ce que signifient ces 4 lettres, je propose également une autre lecture aux Dirigeants, « Richesses Générées Pour Demain »…

Il existe encore trop de certitudes trompeuses, d’idées reçues qui nous conduisent à agir de manière dangereuse, persuadés que nous ne risquons rien. Savoir c’est déjà agir, comprendre c’est se protéger et se protéger c’est protéger ses partenaires. Car n’oubliez pas que vous représentez une passerelle vers d’autres entreprises, vos clients et fournisseurs. La sécurité numérique ne doit plus être une option ; un Directeur Financier m’avouait, après avoir vu son entreprise piratée, qu’il aurait été préférable de former avant, que le coût de reprise d’activité aurait été moindre, voire l’entreprise n’aurait peut-être pas été victime de ce piratage.

Moins protégées, moins formées, les TPE, PME représentent souvent des points d’entrée vers des entreprises plus grandes. Elles ne sont pas la cible finale mais les dégâts peuvent représenter des sommes délirantes et bien souvent mettre en péril la survie de l’entreprise.

« Dans une avalanche, aucun flocon ne se sent jamais responsable »

Parce qu’être Indépendant ne veut pas dire être seul, contactez-moi afin que l’on puisse définir ensemble votre accompagnement personnalisé.
ou
Participez à la prochaine réunion d’information qui vous sera communiquée par T2O+.

Création de sites internet à Nantes Agence T2Oplus

Abonnez-vous aux IZI-NEWS !

 

Faites partie de notre IZI-Base et retrouvez les actus et nouveautés de la galaxie webmarketing !

Bienvenue dans la IZI-Base ! :)

Pin It on Pinterest

Share This