5 actions simples pour rendre votre TPE cyber-résiliente
Alors que le nombre de cyberattaques croît chaque année en France, les TPE sont plus que jamais une cible privilégiée. Dès lors, la question n’est plus de savoir si vous allez être victime de cybercriminalité, mais comment améliorer votre résilience, c’est-à-dire minimiser l’impact sur vos activités, lorsque cela arrivera.
41 % des entreprises françaises de moins de 50 salariés ont déjà subi une cyberattaque, c’est ce que révélait en janvier dernier une étude de la CPME sur la cyber-sécurité des TPE. Pour autant, les petites structures ne sont pas suffisamment armées contre ce risque, essentiellement en raison de leurs contraintes financières. Cette contrainte engendre un cercle vicieux puisque, en étant moins bien protégées, elles sont de fait plus vulnérables et plus susceptibles d’être attaquées et donc de perdre des ressources financières… Cela est particulièrement vrai si elles n’ont pas anticipé le meilleur moyen de « se remettre » rapidement et efficacement de ces attaques. Bonne nouvelle, rendre votre entreprise cyber-résiliente peut passer par des actions simples qui ne nécessitent pas forcément un budget très important. En voici 5.
1. Identifier les menaces
On ne peut pas combattre ce qu’on ne connaît pas. Réaliser une cartographie des risques est donc indispensable. Mais avant d’engager une mission d’audit qui peut paraître complexe ou coûteuse, une discussion avec votre prestataire informatique peut déjà permettre d’identifier et formaliser la liste des points faibles de votre organisation. La plateforme gouvernementale www.cybermalveillance.gouv.fr/ vous permet d’établir un diagnostic précis de votre cyber-sécurité, propose de nombreuses ressources et conseils, et sert aussi à signaler une attaque. Enfin, ce travail de diagnostic est aussi l’occasion d’envisager de souscrire une assurance contre les attaques informatiques : seules 14 % des TPE en ont une (contre 23 % pour les PME).
2. Réaliser votre PCA (plan de continuité d’activité) informatique
L’idée est de répondre le plus précisément possible à la question « que devons-nous faire en cas d’attaque ? ». Le coût de la cybercriminalité pour les entreprises est lié à la perturbation du service, à la perte de données, mais aussi à la perte de confiance auprès des clients. Interrogez ces différentes dimensions. Quels sont vos systèmes de sauvegarde (pour 68 % des petites entreprises, le principal outil est une clé USB ou un disque dur externe) ? Votre prestataire informatique s’engage-t-il sur des délais d’intervention ? Que dire aux clients en cas d’attaque ? Faites de ce PCA un projet interne qui rassemble tous vos collaborateurs, cela augmentera leur engagement ainsi que la pertinence des solutions proposées.
3. Effectuez régulièrement des tests d’intrusion
Certaines attaques ont des effets mineurs, parfois invisibles, mais qui affectent néanmoins la robustesse du système et, d’une certaine manière, « préparent » l’attaque suivante. Les 4 accès à surveiller en priorité sont l’entrée du réseau, la navigation, le poste de travail et le Cloud pour les applications. En testant la solidité des « murs » digitaux de votre entreprise -votre cyber-sécurité-, vous pourrez mieux encadrer des pratiques à risques telles que la mise à jour des systèmes d’exploitation et applications, la sauvegarde des données, l’usage de clés USB, l’ouverture des pièces-jointes dans un email, ou encore l’utilisation de réseau WiFi gratuits.
4. Formez votre équipe !
On ne le dira jamais assez, le facteur humain est le maillon faible, la plus grande vulnérabilité digitale d’une entreprise. D’ailleurs, les attaques visant les personnes (phishing, ransomwares, ingénierie sociale) ont connu la plus forte augmentation en 2018 (source : Accenture). Pour que l’ensemble des collaborateurs soient sensibilisés et que votre cyber-sécurité – en préventif, mais aussi en termes de réflexes à adopter en cas d’attaque – devienne l’affaire de tous, n’hésitez plus à organiser des sessions de formation : 44 % des entreprises de moins de 50 salariés le font au moins une fois par an. Si votre structure est très petite, vous pouvez mutualiser ce coût avec une autre entreprise !
5. Parlez cyber-résilience à la machine à café…
La cyber-résilience doit être un enjeu prioritaire, porté par le chef d’entreprise, et néanmoins partagé par tous. Au lieu de mettre en place des processus lourds et des réunions interminables, discutez-en régulièrement, de manière informelle, avec les collaborateurs que vous croisez. Cela permet de savoir et de faire savoir, par exemple, que 3 appels téléphoniques suspects (« fraude au président ») ont été enregistrés la semaine dernière, ou qu’une clé USB contenant des données sensibles a été perdue…