Cybersécurité, la CGPME enquête et informe

ProtectionDonneesCPGPME

Enquête CGPME (Confédération générale du patronat des petites et moyennes entreprises.) sur la Cybersécurité des entreprises

Les administrations de l’Etat, sous le patronage de l’ANSSI et du Préfet en charge de la lutte contre les cybermenaces au Ministère de l’Intérieur, ont constitué un groupe de travail sur le traitement des victimes de cybermalveillances (entreprises et particuliers), de façon à améliorer la réponse apportée aux victimes.

Afin de définir les besoins des TPE/PME face aux actes de cybermalveillance, la CGPME a réalisé une enquête auprès de ses adhérents qui s’est déroulée du 22 au 27 avril 2015.

Plus de 340 entreprises ont participé à cette enquête. Trois grands secteurs d’activité ont été interrogés : Industrie, Services et Commerce-Artisanat.

Les entreprises employant de 0 à 9 salariés (TPE) constituent plus de la moitié du panel des répondants (63 %). Elles sont suivies par les Petites Entreprises (PE – 10 à 49 salariés – 29 %) et les Moyennes Entreprises (ME – 50 à 249 salariés – 6 %).

ProtectionDonneesEntreprises1

Parmi les entreprises interrogées, 20 % œuvrent dans le domaine informatique. 47 % des répondants travaillent uniquement avec des entreprises privées, 10% exclusivement pour des acheteurs publics et 43 % partagent leur activité entre des clients privés et des acheteurs publics.

Profile des entreprises de l’enquête

La très grande majorité de ces entreprises est connectée à Internet (97 %), possède un site web (83%) et un réseau local (78 %).

Dans pratiquement la majorité des cas (48 %), le dirigeant de l’entreprise s’occupe lui-même de la gestion des ressources informatiques. Arrive en deuxième position, une personne externe à l’entreprise (27 %). Seules 20 % des entreprises consultées indiquent avoir un salarié dédié à cette fonction. ProtectionDonneesEntreprises2

Ce résultat s’explique notamment par les tailles des entreprises.

Alors que 97 % des répondants indiquent avoir accès à Internet, environ 5 % des entreprises interrogées limitent le nombre de postes informatiques connectés à Internet. 93 % des entreprises consultées réalisent des sauvegardes de leurs données.

La grande majorité des entreprises effectuant des sauvegardes (57 %), le fait, au minimum, une fois par jour. Pourtant, seules 30 % des entreprises n’ayant pas de salarié effectuent une sauvegarde journalière des données de leur entreprise. 52 % des 316 entreprises réalisant des sauvegardes déclarent les avoir utilisées.

ProtectionDonneesEntreprises3

Les causes principales de l’usage de ces sauvegardes sont :

  • Un crash disque (42%)
  • Une erreur humaine (40%)
  • Une malveillance (10%)

Comment se comportent les entreprises en cas de cyberattaque

91 entreprises interrogées, soit 27 % du panel, déclarent avoir été victime d’actes de cyber malveillance. Les TPE seraient les plus vulnérables (49 %) ainsi que les PME des services et de l’industrie (respectivement 29 % et 27 %). Cette attaque se matérialise la plupart de temps par le piratage du système d’information de l’entreprise (serveurs, site web, réseau de téléphonie, messagerie, etc.). 65 % des répondants indiquent avoir pu déterminer le point d’entrée dans leurs systèmes de la cyberattaque.

En cas d’incidents constatés, si certaines entreprises ont cherché à évaluer elles-mêmes la situation et régler le problème (47 %), d’autres ont fait le choix de demander une assistance extérieure pour mettre fin à cette situation (49 %).

Seulement 1 entreprise sur 5, parmi les entreprises interrogées ayant subies une cyberattaque, a déposé plainte.

70 % des répondants déclarent qu’ils étaient conscients des risques auxquels ils étaient exposés avant d’être victime de cyber malveillance.

Les pertes de données et les pertes financières induites par ces cyberattaques ont poussé les entreprises victimes à augmenter le niveau de sécurité de leurs systèmes d’information. Seules 14 entreprises ont précisé les contacts qu’elles ont cherchés à alerter.

Les administrations citées sont très diversifiées :

  • La gendarmerie (notamment le référent sureté)
  • La police (judiciaire ou municipale)
  • Le procureur de la république
  • La préfecture
  • L’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI)
  • Le Centre Opérationnel de la Sécurité des Systèmes d’Information (COSSI)
  • Le Centre d’Expertise Gouvernementale de Réponse et de Traitement (CERT)
  • La Direction Régionale du Renseignement Intérieur (DRRI).

Quelques-unes se sont rapprochées de leurs fournisseurs d’accès internet (FAI), de leur assurance ou autres organismes.

Les besoins des entreprises en matière de cybersécurité

Selon cette enquête, l’information, le conseil ainsi que le guide pratique restent les principaux besoins identifiés des TPE/PME.

Cependant la répartition des choix des entreprises répondantes établit une certaine hétérogénéité

Peu en sont réellement conscientes mais la sécurité informatique est un enjeu stratégique pour les entreprises.

ProtectionDonneesEntreprises4

Alors que l’utilisation des outils informatiques est considérablement développée dans les TPE/PME, peu d’entre elles restent attentives aux multiples cybermenaces auxquelles elles s’exposent.

A l’heure actuelle, les données des entreprises (fichiers clients, informations financières ou industrielles, secret d’affaires, données personnelles des salariés, réponse à appels d’offres, etc.) sont devenues un patrimoine ayant une valeur importante et, de ce fait, sont la cible principale des En outre, si la cybermalveillance a principalement pour objectif l’accès aux données de l’entreprise, elle entraîne, dans la plupart des cas, des pertes financières conséquentes liées audysfonctionnement temporaire de l’entreprise.

Cette vulnérabilité, notamment lorsqu’elle est médiatisée, peut également porter atteinte à l’image de l’entreprise, sa réputation en termes de S’il est de la responsabilité de l’entreprise de protéger son système d’information afin de limiter et prévenir les cyberattaques, nombre de chefs d’entreprise n’en ont pas conscience ou ne se sentent pas concernés par ce type de risque.

La CGPME, en partenariat avec l’ANSSI, à réalisé un guide des bonnes pratiques informatiques à l’attention des TPE/PME.

CouvGuideCybersercuriteCGPME

 

L’enquête réalisée par la CGPME met en exergue plusieurs points :

  • Si les ressources informatiques dans les PME sont gérées de manière hétérogène, elles ont, pour la plupart, une politique de sauvegarde de leurs données.
  • Les réponses des entreprises interrogées montrent que ces dernières n’ont pas identifié de procédure spécifique ou d’interlocuteur privilégié lorsqu’elles sont confrontées à une cyberattaque.

Préconisations de la CGPME en matière de protection des données informatiques

D’après notre enquête, peu d’entreprises se sont tournées vers les services de l’Etat lorsqu’elles ont été cyberattaquées. Elles ont même été plutôt rares à porter plainte. La CGPME propose donc la mise en place d’une procédure d’alerte spécifique pour permettre aux entreprises de signaler ce type d’attéques ».

Les besoins des entreprises victimes de cybermalveillance sont hétérogènes, notamment parce qu’ils dépendent de leur niveau de compétence en la matière. Pour la CGPME, il est avant tout nécessaire de permettre aux TPE/PME d’identifier un interlocuteur unique sur le sujet qui pourra les conseiller et rediriger si besoin. A l’heure actuelle, elles se tournent indifféremment vers la gendarmerie, la police ou d’autres administrations lorsqu’elles les connaissent (ANSSI, COSSI, etc.).

Interview d’Ely de Travieso (En charge de la cyber sécurité à la CGPME) pour Les Echos

« Les PME sont des cibles de plus en plus prisées des cyberattaques »

Les PME sont-elles à l’abri de la cybercriminalité ?

Pas moins que les grands comptes. Beaucoup sont la cible d’attaques massives et aveugles qui les touchent directement ou par ricochet. Par exemple cette TPE d’Avignon qui ne se remet toujours pas de la photo des terroristes armés qui s’est affichée sur la page d’accueil de son site.

D’autres sont les victimes d’escroqueries au faux ordre de virement international. L’arnaque bien rodée touche désormais toutes les entreprises, celles du CAC 40 comme les PME, avec à la clef des détournements parfois de plusieurs millions d’euros qui peuvent mettre l’entreprise cible en péril. Après s’être attaqué aux données personnelles, les virus « ransomware » prennent maintenant en otage les données d’entreprise en rançonnant quelques milliers d’euros à chaque fois pour libérer les fichiers infectés. Les escrocs travaillent aussi le week-end, piratant les standards téléphoniques pour délester les entreprises de milliers d’euros de communications surtaxées. Il ne faut pas mésestimer les cybercriminels : ce sont avant tout des entrepreneurs qui consacrent d’importantes ressources à l’innovation.

Le problème est-il suffisamment pris en compte ?

Évidemment pas, faute de temps, de moyens et de culture. Dans les petites et moyennes entreprises, l’informatique se résume souvent à allumer et éteindre des ordinateurs. Or les PME sont des cibles de plus en plus prisées des cyberattaques, car leur vulnérabilité fournie une clef d’accès à leurs donneurs d’ordre du CAC 40.

C’est leur cheval de Troie. Un chiffre donne l’ampleur de l’enjeu : 4.000 vulnérabilités sont identifiées chaque année dans des logiciels utilisés par l’ensemble des PME.

Qui doit s’occuper du sujet dans l’entreprise ?

En premier lieu, le chef d’entreprise. Avec le soutien de l’Agence nationale de sécurité des systèmes d’information, la CGPME a édité à son attention un guide des bonnes pratiques en matière de cyber sécurité, téléchargé 800.000 fois cette année. C’est un bon début. Notre message y est clair : impossible de supprimer le risque. Il faut donc l’accepter et d’abord le considérer en tenant compte du périmètre de son écosystème.

Puis élaborer une stratégie de long terme pour élever progressivement son niveau de protection avec des solutions techniques – l’infogérance peut être un compromis qui permet de déporter le risque – et organisationnelles. La gestion de la sécurité ne doit plus être du ressort exclusif des directions informatiques, mais partagée avec une direction des risques, au même titre que l’hygiène et le risque social. L’objectif n’est pas tant d’empêcher que d’anticiper les suites d’une cyberattaque : si on en est victime, il faut pouvoir redémarrer l’activité le plus rapidement possible en ayant limité la casse.

Source – Les Echos