Recherche

Publié par Véronique Meot le | Mis à jour le
Lecture
5 min
  • Imprimer

safe shield

Les cabinets d'audit et d'expertise comptable proposent des diagnostics pour identifier les risques propres à l'entreprise. Victime de plusieurs attaques, dont récemment un rançonware qui lui a spolié la moitié de ses données, Sébastien de Wuld, gérant de la société Big Bennes, une PME de 70 salariés, a confié ce diagnostic au cabinet d'expertise comptable Fideliance. "Partenaire de proximité, le cabinet me paraissait plus à même d'évaluer la situation que mon prestataire informatique, qui aurait été juge et partie", témoigne ce dirigeant dont la société a réalisé 22 millions d'euros de chiffre d'affaires l'année dernière.

La mission s'est essentiellement axée sur la mise en place de procédures qui faisait défaut à l'organisation, plutôt bien protégée. "J'ai mis en place des tests de conformité notamment pour la vérification des sauvegardes, ainsi que des tests de restauration des données", précise Christian Gabenesh, ingénieur spécialisé en sécurité informatique chez Fideliance. Car dans les systèmes informatiques, les failles apparaissent souvent par manque de vigilance. D'où l'importance du volet managérial et des procédures internes. Les collaborateurs doivent appliquer des règles de bon sens comme renforcer les accès aux données sensibles, privilégier l'authentification forte (un mot de passe et un numéro de téléphone pour recevoir un code SMS, une carte à puce et une empreinte biométrique...), utiliser un filtre de confidentialité sur les écrans mobiles, donner l'alerte en cas de comportements anormaux, etc. Bref, la vigilance doit être constante.

Souscrire une assurance

Face à la gravité du risque - une PME attaquée peut voir son activité s'arrêter net - une protection supplémentaire consiste à contracter une assurance. Plusieurs offres sont apparues sur le marché, critiquées par l'étude de SystemX, l'organisme considérant qu'elles s'attachent à répondre à des besoins secondaires. Mais il semble qu'elles évoluent : «Nous proposons de multiples garanties couvrant les impacts qu'une cyberattaque peut provoquer, du financement des frais liés à la gestion de crise (recours à un expert et à un avocat) à la garantie perte d'exploitation», explique Dominique Jeune, expert en cybersécurité chez MMA Covea. Investir entre 1 000 et 4 000 euros environ permet de s'assurer une garantie dont le montant peut atteindre plusieurs centaines de milliers d'euros. «Comme nous n'assurons pas un particulier contre le vol s'il ne verrouille pas son habitation, nous exigeons des entreprises un niveau minimum de prévention», souligne l'expert.

«Les menaces augmentent de plus de 70 % par an tandis que le chiffre d'affaires lié à la cybersécurité ne progresse, lui, que de 9 % par an. Sa croissance est clairement ralentie par le manque de ressources», constate Jean-Paul Alibert, président du comité cybersécurité au Syntec Numérique. Ce syndicat s'est fixé comme objectif de promouvoir les métiers de la cybersécurité, attirer les talents, susciter les reconversions, faciliter les formations et sensibiliser les entreprises.

The concept of technology, the Internet and the network. Businessman shows a wor


Des moyens limités

Dans les PME, la question des ressources se pose encore plus que dans les grandes entreprises. "Elles utilisent des méthodes dépassées et inadaptées face aux risques actuels", estime Hervé Dhélin, directeur marketing d'Efficient IP. Après avoir créé une formation longue certifiante pour les grandes entreprises et les ETI, "le Syntec Numérique travaille à l'ouverture, dès septembre, d'une formation plus courte afin de permettre aux informaticiens des PME de mieux appréhender les risques», annonce Jean-Paul Alibert.

Le secteur de la cybersécurité manque d'outils et de compétences. Les experts de SystemX estiment que ce marché souffre «d'une hétérogénéité excessive des compétences et d'une faible transparence sur le niveau réel de chaque prestataire». Que faire ? «Nous recommandons aux PME qui ne peuvent pas intégrer les ressources en interne de faire appel à des fournisseurs de solution SaaS, qui les déchargent de la gestion des outils», répond Jean-Paul Alibert.

La plateforme Cybermalveillance.gouv.fr, mise en ligne à la mi-octobre 2017 par le GIP Acyma, dispositif d'assistance aux victimes, répertorie des prestataires spécialisés de proximité. «Face à une attaque, nous fournissons une première réponse via les «Fiches réflexes» à disposition afin d'aiguiller les victimes. Nous référençons aussi des prestataires qui ne sont pas pour autant qualifiés, mais qui se sont engagés via la signature d'une charte», précise Jérôme Notin, dg du dispositif national d'assistance aux victimes de cybermalveillance.

De son côté, l'ANSSI publie des listes de prestataires dans plusieurs spécialités : détection des incidents de sécurité (PDIS), réponse aux incidents, audit des systèmes d'informations, etc. Des sociétés qui répondent aux exigences de l'agence mais pratiquent, selon Jérôme Notin, «des tarifs peu accessibles aux PME». Note d'optimisme, les observateurs s'accordent à penser que le marché devrait se structurer dans les mois à venir. C'est-à-dire se purger, s'enrichir de solutions venues de l'intelligence artificielle et proposer des positionnements tarifaires plus adéquats... ouvrant la voie à une meilleure résistance des PME. La contre-attaque s'organise.

no pic

Véronique Meot

S'abonner
au magazine
Retour haut de page