Par Arnaud Proust, Président de Percy-Miller
Une attaque de ransomware touche les PME toutes les 40 secondes[1]. Ces entreprises qui ne mènent pas de politique cyber-sécuritaire, à l’heure où elle est devenu un enjeu majeur dans la transformation digitale, sont alors démunies face à ces piratages. Car les PME restent une cible privilégiée des hackeurs.
PME : des cibles faciles ?
Au cours des 12 derniers mois, 42 % des PME admettent avoir été victimes d'une attaque par un ransomware (1), un logiciel malveillant qui prend en otage les données personnelles en cryptant l’ensemble des fichiers d’un ordinateur, puis qui exige une rançon en échange d’une clé de décryptage. Parmi elles, une PME sur trois a payé la rançon, mais une sur cinq n'a jamais récupéré ses fichiers après le paiement (1).
Le budget que les PME allouent à la cyber-sécurité ne cesse de croitre, mais reste encore insuffisant. Même si elles semblent prendre conscience de leur vulnérabilité, la plupart investissent peu, voire pas du tout dans la sécurité informatique. Sans enveloppe dédiée, parfois même dénuées de service informatique, elles deviennent des cibles faciles. Peu visées par les vols de données, à l’inverse de multinationales, elles ne se perçoivent donc pas comme des cibles potentielles, du fait de leur petite taille. Pourtant, elles restent la cible privilégiée de ransomwares.
Les mails pirates sont classiquement travaillés pour inspirer confiance : expéditeur falsifié pour ressembler à des mails internes, pièces jointes aux allures de facture ou de paiement, tout est bon pour inciter l’utilisateur à cliquer. L’intérêt, pour le pirate, n’est pas d’accéder aux données, mais de les crypter, pour pouvoir exiger une rançon généralement judicieusement raisonnable, entre 3000 et 5000€ - une somme envisageable pour une PME. La rançon peut être toutefois beaucoup plus élevée quand il s’agit d’une grande entreprise. Il n’y a aucune issue possible à l’infection. Si la PME paie, elle sera davantage ciblée, et n’aura aucune garantie d’obtenir la clé de décryptage ; si elle ne paie pas, les données seront définitivement perdues.
Le stockage d’informations ne se fait plus dans la structure : la sécurité se perd en réseau
La grande difficulté des PME, c’est qu’elles n’ont pas forcément les moyens de mettre en place les mêmes systèmes de sécurité que dans les grandes entreprises. Face à la complexité des menaces, au coût élevé et au manque de temps et de personnel dédiés à ces questions, la mise en place de solutions préventives est rare. Pourtant, une cyberattaque peut coûter jusqu’à 100 000€. Au-delà de l’aspect économique lié à la rançon, la perte des données, du temps et des ressources internes fait de la cyber-sécurité un atout majeur à mettre en place dans les PME.
Une question d’autant plus épineuse qu’aujourd’hui, les appareils sont souvent reliés en réseau. Avec la multiplication des devices et la flexibilité des cadres de travail, une nouvelle problématique de sécurité se pose alors. Les mails se consultent aussi bien sur l’ordinateur mis à disposition par l’entreprise que sur un support personnel. Les employés en télétravail, les prestataires, les sous-traitants peuvent également accéder à des informations via des mails ou une plateforme. Aujourd’hui, le stockage d’informations ne se fait plus dans la structure ; la sécurité se perd en périphérie.
Quelles mesures préventives adopter pour protéger sa PME des ransomwares ?
La cyber-vulnérabilité des PME en fait une cible idéale pour des prises d’otage informatiques qui paralysent les supports et les entreprises. Les PME doivent apprendre à ne pas traiter les questions de cyber-sécurité que lorsqu’elles sont confrontées à une cyberattaque : elles doivent penser le système de sécurité dans son ensemble, en amont. Certaines PME confient leurs données à des prestataires de service Cloud pour externaliser la gestion des données. Cela peut limiter la vulnérabilité aux attaques : il vaut parfois mieux faire confiance à des prestataires cloud pour assurer la sécurité des données avec des firewalls, si on n'a pas les ressources internes pour assurer la sécurité que de devoir gérer sa propre sécurité en interne, à condition de bien choisir le prestataire. Mais le risque zéro n’existe pas, et personne n’est à l’abri d’une attaque.
On ne le dira jamais assez : un antivirus à jour est indispensable pour les entreprises, de même qu’un anti-spam et un firewall efficients. Cela permet de limiter le nombre de ransomwares qui pourraient arriver dans les boîtes mails des utilisateurs et assurer la sécurité des données. La sauvegarde est également un élément essentiel en cas d’infection pour éviter de se trouver dans une position ou le paiement de la rançon paraît une solution attractive – elle ne l’est jamais. Enfin, la meilleure prévention reste la formation et la sensibilisation régulière des utilisateurs pour éviter tout risque d’infection. C’est la combinaison de plusieurs vecteurs de prévention qui sera efficace. La meilleure sécurité reste celle qui devient un réflexe au quotidien : si l’on ne doit retenir qu’un seul réflexe, c’est de sauvegarder.
[1] Selon un rapport de l’entreprise de sécurité Kaspersky Lab
Ils nous font
confiance