Quelques conseils quand on est petit
Les PME disposent de moins de ressources financières et humaines que les grandes entreprises, mais elles font face aux mêmes défis en matière de cybersécurité. Pour se protéger, elles ont néanmoins accès à des outils performants, mais l’enjeu se situe surtout sur le plan des processus entourant le facteur humain.
La taille n’est pas une protection
Ce n’est pas parce qu’elles sont petites que les PME sont à l’abri d’une attaque dévastatrice. « Les PME sont plus que jamais ciblées par les pirates, parce que nombre d’entre elles ont des postures de sécurité qui ne sont pas idéales », prévient Guillaume Caron, président de VARS, division en sécurité de l’information de Raymond Chabot Grant Thornton (RCGT). Or, une PME qui travaille avec une grande entreprise représente une occasion pour un pirate de contourner le système de sécurité du grand partenaire, et de s’infiltrer par une porte moins bien verrouillée. C’est pourquoi de plus en plus de grandes entreprises qui font affaire avec les PME exigent un niveau élevé en matière de cybersécurité.
Commencer par comprendre
Les PME insuffisamment protégées peuvent considérer que des efforts en cybersécurité seront coûteux et complexes. Pourtant, la première question à se poser n’est pas celle du coût financier. « Il faut bien comprendre le risque et quels actifs informationnels critiques sont à l’intérieur de l’entreprise », recommande M. Caron. Ce défi est plus difficile à relever lorsque le conseil d’administration connaît mal les enjeux de cybersécurité. Pourtant, « une PME ne peut pas continuer à avoir de la croissance sans traiter ces enjeux, parce qu’elle rencontrera un problème, tôt ou tard », met en garde Guillaume Caron.
Surveiller l’activité numérique
La demande de rançon constitue seulement la dernière étape d’une attaque, explique Guillaume Caron. L’assaillant passe à l’action après avoir obtenu des identifiants et s’être installé confortablement dans les systèmes de l’entreprise. La surveillance consiste à cibler ces signes précurseurs, et à examiner les alertes. Les premiers éléments à mettre en place sont donc la surveillance des actifs numériques, une bonne gestion des accès, une visibilité en temps réel lorsqu’un employé clique sur un lien malveillant, énumère l’expert. La sensibilisation des employés doit être mise en place sans tarder. Et une équipe, en interne ou plus probablement à l’externe, doit être en mesure de répondre 24 heures sur 24, 7 jours sur 7, en cas de problème majeur.
Des outils accessibles
Certains outils permettent de se doter d’une surveillance de bon niveau, sans débourser une fortune. Des solutions de technologie de détection et réponse gérées, déployées en quelques heures, permettent d’observer en temps réel des comportements anormaux ou des vulnérabilités sur des postes de travail, la présence de logiciels malveillants et le contrôle des accès aux ports USB. L’entreprise peut alors prendre des actions immédiatement. Il y a aussi les antivirus et les pare-feu, « mais cela ne suffit pas pour contrôler qui a accès à quoi et quand, ni pour s’assurer que les données sont bien préservées », pointe M. Caron.
Quel prix à payer ?
L’ensemble des actions nécessaires représente un certain budget. « Mais quel est le coût de ne rien faire ? », demande Guillaume Caron. Seule une analyse des risques et des coûts peut permettre à l’entreprise de faire un choix éclairé. Une attaque de rançon peut asséner un coup fatal à une PME. Une fois que les données de l’entreprise se retrouveront sur l’internet caché (dark web, en anglais), la PME devra faire face à des pertes de contrat, à des litiges et à une perte de réputation durant des années. Elle se trouvera aussi avec un nombre grandissant de pirates capables de l’attaquer à partir des données publiées frauduleusement.