Ces entreprises représentent une part significative de l’économie mondiale. Malgré leur importance économique, de nombreuses PME ne sont pas suffisamment préparées aux risques cyber. Elles sous-estiment souvent les impacts d’une cyberattaque.
En France, les PME de moins de 250 salariés représentent 44 % du PIB, et à l’échelle mondiale, elles génèrent 50 % de la valeur ajoutée. Cependant, malgré leur importance économique, de nombreuses PME ne sont pas suffisamment préparées aux risques cyber.
En 2024, près de 350 000 cyberattaques ont été recensées, dont 330 000 visaient des PME. Une étude publiée en octobre 2024 (1) révèle que près de la moitié des entreprises estiment ne pas être suffisamment préparées en cas d’attaque. Les attaques en cascade, les fraudes par compromission d’adresses e-mail, les ransomwares, le phishing et les attaques DDoS sont particulièrement impactantes.
« Nos clients ont été touchés par des attaques reposant sur des ransomwares qui ont paralysé leur activité, car ils n’avaient plus accès à leur système d’information. Jusqu’à cette attaque, ils n’avaient pas conscience que leur SI est leur outil de travail », précise Jean-Félix Chevassu, Directeur Offres sécurité chez Adista.
Toutes les entreprises, quel que soit leur secteur d’activité, sont concernées par les cyberattaques. C’est un constat récurrent depuis des années : ce sont les entreprises qui sont faibles, pas les attaquants qui sont forts. Elles ne perdent pas seulement des données sensibles (confidentielles ou à caractère personnel).
Elles perdent également du temps et des clients ou prospects. Le vol ou la fuite d’informations liées à la propriété intellectuelle peut entraîner la perte de centaines d’heures de développement d’un projet, impacter la croissance et entacher la réputation d’une organisation.
Des situations complexes à gérer
Dans un contexte de très forte concurrence et de transformation numérique, le moindre grain de sable peut enrayer une belle mécanique. Et ce grain de sable peut être un virus ou un acte malveillant. Une fuite de données (ou une perte), une incapacité à utiliser son informatique et à accéder à ses fichiers (suite à une attaque de type ransomware) peut entraîner une perte de chiffre d’affaires.
Les PME font face à un tsunami d’attaques. La preuve, Dattak en a traité en moyenne trois par semaine. Pour Charlotte Couallier, les attaques en cascades ont été particulièrement impactantes. « En février 2024, deux prestataires de tiers payants ont subi une cyberattaque qui a également touché deux mutuelles qui utilisaient ces services. Nous avons dû faire la gestion de crise, la notification à leurs clients, mais également régler les frais opérationnels et juridiques que cela a entraînés », explique la CEO de Dattak.
« Lorsque j’étais chef de projet chez Altran, nous avons été victimes d’une cyberattaque. J’imagine la réaction d’un chef d’entreprise qui constate que ses équipes ne peuvent plus travailler. La situation a été très complexe à gérer, car l’entreprise était en connexion avec de nombreux partenaires. La prise de conscience des PDG doit être à la hauteur des impacts et ce n’est malheureusement pas le cas », constate Marcel Barelli, DSI/CIO de Foodex Group.
De son côté, Sébastien Brunin, DSI/RSSI d’Absys Cyborg, note que certains secteurs, comme la Tech, sont mieux préparés que d’autres, tels que la santé, les avocats et les experts-comptables.
Charlotte Couallier, CEO de Dattak, une assurance proactive contre les cyberattaques, observe une augmentation des attaques en cascade et des fraudes par compromission d’adresses e-mail. Elle cite l’exemple d’une PME infiltrée par un pirate qui a détourné des virements bancaires pendant deux mois.
Les PME ont tendance à se reposer sur leurs prestataires IT pour la cybersécurité, mais cela peut être risqué. Une PME bretonne a récemment fait condamner son prestataire informatique pour négligence après une attaque par rançongiciel.
Les experts en cybersécurité soulignent que les PME doivent voir la cybersécurité comme une priorité plutôt qu’un simple coût. Charlotte Couallier compare le risque cyber à celui d’un incendie, notant que les entreprises s’assurent contre les incendies, mais pas contre les cyberattaques.
Jean-Félix Chevassu utilise une analogie avec les systèmes de sécurité des voitures, qui représentent environ 25 % du coût d’un véhicule, pour souligner l’importance de protéger son entreprise.
Pour mieux se protéger, les PME devraient renforcer leurs sauvegardes, installer des logiciels de sécurité, sensibiliser leurs employés et s’assurer. Externaliser la cybersécurité, comme pour la comptabilité ou la gestion de la paie, est également recommandé.
Des formations et des MOOC, comme ceux de l’ANSSI, existent pour sensibiliser les chefs d’entreprise. « Mais la communication sur la cybersécurité est très technique. Si l’on prend une personne dans la rue et qui ne travaille pas dans ce domaine, elle aura du mal à se projeter sur les impacts. Or cette problématique touchant tout le monde, il serait judicieux de lancer des campagnes grand public comme c’est le cas pour la sécurité routière », souligne Yasmine DOUADI, Fondatrice et CEO de Riskintel Media et Risk Summit.
L’utilisation croissante de l’intelligence artificielle par les cybercriminels complique encore la situation. Selon Acronis, plus de 90 % des organisations ont été victimes d’attaques de phishing optimisées par l’IA en 2023. Les réglementations comme NIS2 vont avoir un impact direct ou indirect sur toutes les entreprises et leurs prestataires. « NIS2 va être bénéfique pour les PME, car cette directive apporte un cadre reposant sur des règles déjà comme celle de l’hygiène numérique, ISO 27001 », Jean-Félix Chevassu. Toute la supply chain est concernée.
En conclusion, les PME doivent prendre conscience des risques cyber et investir dans des mesures de protection adaptées. La cybersécurité ne doit plus être vue comme un coût, mais comme une nécessité pour assurer la continuité et la pérennité de leur activité.
(1) Etude menée par Cybermalveillance.gouv.fr, Club EBIOS, la CPME nationale, le Mouvement des Entreprises de France et U2P.
