Une enquête de la CPME révélait dès 2019 qu ‘une petite entreprise sur deux avait déjà vécu les conséquences d’une cyberattaque.
Plus nombreuses, moins sensibilisées, moins protégées et donc plus fragiles, les TPE / PME sont la nouvelle cible des pirates informatiques. Rançons exigées pour débloquer le système informatique, vol de données sensibles, faux supports techniques pour soutirer de l’argent.
Dans un monde de plus en plus numérisé, la cybersécurité n’est plus une option. C’est tout simplement la sécurité de l’entreprise elle-même et la continuité de son activité qui sont en jeu.
La Région Auvergne-Rhône-Alpes et ses partenaires vous accompagnent !
Au sommaire :
Cybersécurité : les défis à relever
Les cyberattaques, ça n’arrive pas qu’aux autres
Le Directeur Général d’une TPE victime d’un rançongiciel, tentative de rançon en ligne, témoigne : en quelques minutes, tous les fichiers de l’entreprise sont cryptés sans plus aucune possibilité d’y accéder !
« Avec une commande toutes les 7/8 minutes, sans informatique ce n’est pas possible de fonctionner. »
Heureusement grâce aux sauvegardes quotidiennes, tous les fichiers ont pu être restaurés sur l’ensemble des ordinateurs de l’entreprise. Sans cette bonne pratique, c’est la survie de la TPE qui était en jeu !
Je prends conscience des principaux risques liés à la sécurité numérique
Pas d’action efficace sans réelle prise de conscience des dangers pour mon entreprise. Les actions préventives ne se résument plus un anti-virus, un anti-spam et un pare-feu … au-delà de ces risques techniques, les nouveaux risques cyber peuvent prendre différentes formes :
- risques pour les données de mon entreprise : vol de données stratégiques par la concurrence sur un appel d’offres ou sur un fichier clients, …
- risques pour la sécurité économique de mon entreprise : « fraude au président », une technique d’usurpation d’identité du dirigeant qui peut conduire mes collaborateurs à effectuer des virements importants à leur pirate sans s’en rendre compte, …
- risques pour l’image de mon entreprise, mes produits, mes marques : campagnes de dénigrement sur les réseaux sociaux ou bien encore « cybersquatting », une pratique qui consiste à faire enregistrer de manière abusive un nom de domaine identique ou similaire à une marque existante, à un nom commercial, à une dénomination sociale ou à un nom patronymique, dans le but de nuire à un tiers ou d’en tirer un profit, …
- ….
La liste est longue et ces cybermenaces peuvent avoir de lourdes conséquences sur mon entreprise :
Pour en savoir plus sur les cybermenaces :
le guide « L’essentiel de la sécurité numérique pour les dirigeants et les dirigeantes » qui dresse notamment les grands types de menaces et leurs impacts
le portail cybermalveillance.gouv.fr qui documente notamment toutes les menaces par rapport aux données, e.mails, sites web, ordinateurs, tablettes et téléphones
Vous pensez être victime d’un acte de cybermalveillance ?
Un seul réflexe : le diagnostic et l’assistance en ligne proposés par Cybermaveillance.gouv.fr
Prévention : un pas à pas pour sécuriser mon entreprise en 4 étapes clés
1. Je sensibilise et je forme mes collaborateurs
Équipes peu informées et pas formées, mots de passe trop faibles, attitudes et habitudes des salariés qui permettent des intrusions, vengeance d’anciens stagiaires ou collaborateurs… C’est le plus souvent en exploitant des comportements caractéristiques des êtres humains comme la mise en confiance, l’amitié, le respect de l’autorité, l’attraction pour une ressource rare, que les pirates trouvent les failles qui contourneront les systèmes de protection informatiques.
Une charte sur la sécurité informatique ne suffit plus. Il vous faut agir sur les comportements, diffuser les bonnes pratiques et instaurer une vigilance de chacun. Vos salariés seront vos meilleurs alliés dans ce vaste chantier collectif à condition de les associer. Une occasion aussi de faire le point sur les usages numériques professionnels et personnels, qui ont tendance à se mélanger de plus en plus et qui peuvent être source de dangers supplémentaires pour la sécurité de l’entreprise.
Élaborer et faire appliquer une charte informatique
Consulter les 10 bonnes pratiques pour la sécurité des usages pro et perso
Me former et former en ligne gratuitement mes collaborateurs grâce au MOOC de l’ANSSI » Se former à la cybersécurité »
Participer aux ateliers, webinaires et conférences organisés en Auvergne-Rhône-Alpes
2. Je mets en place des actions concrètes en prévention
Votre entreprise peut faire face à différentes situations. Et d’abord au sein de ses propres murs, de nombreuses actions peuvent et doivent être mises en place. Il est aussi possible que de nombreux salariés soient dans des situations de nomadisme digital, chez des clients, dans les transports ou en home-office. Il est important de prendre en compte ces différentes situations.
Découvrez le B.A.BA des actions que vous pouvez mettre en place :
Arnaques au commerce en ligne (pour les acheteurs et les vendeurs – dropshipping), marketing de réseau
Escroqueries bancaires (chèques, offres de crédit et d’épargne frauduleuses, fraudes aux paiement en ligne, faux ordre de virement, vol de coordonnées bancaires)
Usurpations d’identité, faux sites administratifs, hameçonage/phishing, arnaques au Compte Personnel de Formation (CPF), appels frauduleux aux dons, fraudes aux réparations
Rançongiciels (ransomware)
Escroqueries au RGPD
- Mettre en place un pare-feu
- Choisir son mode de sauvegarde
- Lutter contre les spams
- Sécuriser son réseau WIFI
- Sécuriser ses données
- Sécuriser ses données en déplacement
- Sécuriser son site internet
- Se protéger face à un cybersquatting en lien avec le nom de domaine de votre site web
Pour aller plus loin avec l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) :
- la cybersécurité pour les TPE-PME en 13 questions
- le panorama de tous les guides pratiques pour la cybersécurité des entreprises
3. J’applique la RGPD
Les différents flux d’information de l’entreprise peuvent créer des failles de sécurité permettant des pertes ou des vols de données.
L’entreprise encourt des risques de poursuite et des amendes si elle ne protège pas suffisamment les données personnelles qu’elle collecte, consciemment ou non.
Cela signifie concrètement que les entreprises ont une obligation de se conformer au RGPD (Règlement Général sur la Protection des Données) qui encadre le traitement des données personnelles sur le territoire de l’Union européenne.
4. Je me fais accompagner
La cybersécurité est un chantier de longue haleine et vous ne pourrez pas tout faire en même temps, ni tout faire par vous-même.
Dans le cadre du plan de transformation numérique des entreprises, la Région propose des dispositifs d’aide pour accompagner les TPE-PME sur cet enjeu majeur qu’est la sécurité numérique :
Le volet Cyber du programme « Usine Numérique Régionale opéré par l’ENE et financé par la Région
un témoignage :
Vous pouvez également faire appel à des consultants spécialisés, différentes sociétés de services de cybersécurité ou encore souscrire à une assurance spécialisée pour les dommages causés par une éventuelle attaque.