Les enjeux de la cybersécurité en 2021 pour les TPME

Les hackeurs l’ont bien compris et les ciblent en priorité afin de tenter d’accéder au réseau informatique de leurs clients.

Aucune organisation n’est donc totalement à l’abri d’une attaque. Preuve en est la vaste cyberattaque qui s’est produite fin 2020 contre des organisations gouvernementales et des entreprises américaines. L’une des principales cibles visait l’éditeur de logiciels de gestion informatique SolarWinds. Au moins 18 000 clients ont été impactés, parmi lesquels des entreprises de toute taille. Brad Smith, le président de Microsoft a déclaré à ce propos que l’attaque était « la plus sophistiquée que nous ayons vue jusqu’ici. » Au printemps 2021 s’est déroulée une nouvelle attaque, supposément du même groupe de hackeurs soutenu par la Russie et qui s’en était pris à SolarWinds. Ils ont cette fois visé plus de 3000 comptes liés à des agences de sécurité américaines, des ONG et des think tanks. 

Pour mener l’attaque sur SolarWinds, les hackeurs ont certainement profité d’une mise à jour logicielle pour installer un malware. La seconde cyberattaque a consisté à envoyer des courriels d’hameçonnage (phishing) dotés d’un lien qui semblaient authentiques. En cliquant sur celui-ci, un fichier malveillant était inoculé ensuite capable d’infecter d’autres postes en réseau et de dérober des données.   

Etat des lieux des risques et cybermenaces

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a comptabilisé un nombre d’attaques par rançongiciels multiplié par 4 entre 2019 et 2020⁽¹⁾. Elle a également révélé une hausse de 400% de tentatives de phishing sur un an depuis mars 2020. Durant la Covid-19, ce risque cyber a augmenté de 25%.

L’année 2021 a également mal débuté puisque selon une étude eSentire⁽²⁾, six groupes de hackers auraient déjà réussi à subtiliser plus de 45 millions de dollars de Janvier à Mai auprès de 290 entreprises dans le monde.  

Si la transformation numérique est source de développement et d’opportunités pour les entreprises, elle se double d’une menace grandissante pour celles-ci. Tous les secteurs d’activités sont visés par les cyberattaques : industrie, santé, télécommunications, collectivités, etc. C’est ce qu’indique l’ANSSI et ce que démontre le rapport eSentire qui prouve qu’aucun secteur n’est à l’abri d’une demande de rançon par rançongiciel.

Voilà pourquoi le Gouvernement a décidé de réagir en mobilisant 1 milliard d’euros(3) dans le but de doubler les effectifs de la filière cybersécurité d’ici à 2025. Il vise notamment à diffuser une véritable culture de la cybersécurité en entreprise et à stimuler la recherche française en cyber.  

Les 2 principaux risques en 2021 pour les TPE-PME

Ransomwares : des chiffres en hausse exponentielle

Les rançongiciels sont des risques avérés pour les entreprises de toutes tailles. Personne n’est à l’abri d’une demande de rançon. Rien qu’en France, l’année 2020 a connu une hausse significative de ce type d’attaque. L’ANSSI a comptabilisé 192 incidents contre 54 en 2019, soit une augmentation de 255 % des signalements d’attaques en un an.  

Une catégorie d’attaques bien renseignée

Un rançongiciel peut s’introduire dans un réseau de plusieurs manières. Soit par le biais d’un mail contenant une pièce jointe contaminée ou un lien vérolé, soit par un code malveillant caché dans un plugin (Flash, Javascript...) de navigateur. Il peut aussi infecter un fichier bureautique ou multimédia. Une fois activé, il va contaminer l’ensemble des postes connectés au réseau en chiffrant tous les éléments contenus sur les disques durs. Les ordinateurs deviennent inutilisables sous peine de régler une rançon au pirate pour obtenir la clef de déchiffrement.

Plusieurs types et tendances de rançongiciels 

Les hackers se sont professionnalisés ces dernières années. L’attaque par rançongiciels est devenue un business très lucratif au même titre que celui des narcotrafiquants. Dans son étude datée de mars 20214, l’ANSSI révèle 3 tendances marquantes :

• Le Big Game Hunting qui consiste à cibler un réseau en particulier car il dispose d’une capacité financière à payer des rançons de montants importants. 
• Le RaaS (Ransomware as a Service) fonctionne par abonnement et permet à un hacker peu expérimenté de bénéficier d’une trousse à outils complète pour lancer une attaque. 
• La double extorsion qui consiste à exfiltrer les données sensibles de l’entreprise en menaçant de les publier si celle-ci refuse à payer la rançon.  

L’hameçonnage cible aussi les SMS/MMS et réseaux sociaux
Si le code malveillant est inoculé dans un réseau d’entreprise grâce à une pièce jointe vérolée, celle-ci ne provient pas toujours d’un mail. En effet, selon rapport de la plateforme Cybermalveillance.gouv.fr, « l’hameçonnage sous toutes ses formes reste l’un des principaux vecteurs à l’origine de multitudes d’attaques informatiques, avec une tendance en expansion de l’utilisation du SMS. » Jusqu’à 85 % des liens seraient envoyés par SMS/MMS et réseaux sociaux. La plateforme appelle donc à la vigilance des collaborateurs d’entreprise et utilisateurs. 

Attaques par déni de service (DDoS)

Une catégorie de menaces en augmentation constante

Les attaques DDoS ont augmenté de plus de 150% au cours du premier semestre 2020 selon une étude Neustar⁽⁵⁾. Elles sont à la fois plus sophistiquées, plus intenses et plus longues. In fine, 2020 aura vu ce type d’attaques passer la barre des 10 millions, soit 1,6 million de plus qu’en 2019⁽⁶⁾. Les entreprises visées sont généralement celles disposant de services ou sites d’achats en ligne. De la TPE PME au grand groupe, toutes peuvent être visées par ce type d’attaque.

Un fonctionnement bien rodé

Une attaque DDoS vise à rendre un serveur, un service ou une infrastructure indisponible en envoyant une multitude de requêtes simultanément afin de saturer la bande passante de la connexion Internet de l'entreprise. Celle-ci ne parvient plus à répondre au trafic légitime, si bien qu’elle devient instable ou indisponible. En conséquence de quoi les collaborateurs, clients et autres fournisseurs ne peuvent plus se connecter au service ou site, ce qui entraîne des pertes de revenus et de productivité. Par ailleurs, ce type d’attaque étant généralement visible publiquement, elle entraîne un déficit d’image et porte atteinte à la crédibilité de l’entreprise. Ce type d’attaque évolue désormais vers les dispositifs IoT : les pirates se rendant maîtres de ce type d’objets pour démultiplier leurs attaques agressions en nombre et en volume. C’est le cas des botnet Mirai et Gafgyt qui ont fait 28 000 victimes uniques depuis 2016.

Un contexte télétravail/travail hybride qui accentue les risques

Télétravail : facteur de risque supplémentaire pour les entreprises

En 2020, jusqu’à 65 % des entreprises ont placé plus de la moitié de leurs collaborateurs en télétravail, selon une étude Mailnblack⁽⁷⁾. Cela a accentué le risque de cyberattaques sur des réseaux domestiques peu ou pas sécurisés. Parallèlement, plus de 60 % des employeurs n’auraient pas fourni de barrières de cybersécurité à leurs collaborateurs.

Des failles de sécurité multiples

Le recours massif au télétravail a mis au jour les failles de sécurité des entreprises. Les collaborateurs ont été amenés à travailler avec du matériel personnel non sécurisé par VPN. Ils ont pu utiliser des réseaux non sécurisés et envoyer et réceptionner des messages et textos sensibles depuis des appareils non protégés, partager ou télécharger des documents sans l’aval de la DSI. Autant de comportements à risques pour l’entreprise, laquelle doit repenser la mise en place des systèmes de défense pour se protéger.  

TPE/PME, des entreprises particulièrement ciblées

Les TPE/PME sont des cibles de choix car leurs systèmes de sécurité sont souvent moins élaborés faute de moyens, d’information, de temps et d’experts en interne. Dans les petites structures, ce sont bien souvent les dirigeants eux-mêmes qui gèrent la cybersécurité. 

Beaucoup se demandent si la mise en place d’une solution de cybersécurité clé en main gérée par un intervenant extérieur vaut la peine. La réponse ne fait pas de doute vu le nombre et la nature des attaques, dirigées à 80% vers les petites structures. Autre chiffre marquant : 20% des PME ont subi une intrusion sur leur site web en 2020, selon un rapport Sectigo⁽⁹⁾.  

Des exemples éloquents :

Il existe de nombreux exemples de TPE/PME (mais également d’ETI) ayant dû se placer en redressement judiciaire après une cyberattaque. Selon les autorités américaines, la moitié d’entre elles font faillite dans les 6 mois. Ces prises en otage démontrent qu’il est primordial de prendre des mesures pour limiter le risque.

• Le groupe lyonnais de lingerie Lise Charmel⁽¹⁰⁾ a été victime d’un rançongiciel en novembre 2019. Les 1150 salariés du groupe ont été touchés et la société a dû être placée en redressement judiciaire en février 2020.


• En juillet 2020, c’est au tour de l’assureur MMA⁽¹¹⁾ de subir une attaque par rançongiciels. Son site web et ses services de gestion ont été paralysés. Le pire a pu être évité et l’assureur s’est remis de cette intrusion.


• En avril 2021, le groupe d’édition du Seuil/La Martinière⁽¹²⁾ a fait l’objet d’une attaque coupant l’ensemble des accès au réseau.


• Le 15 juin 2021, c’est au tour de Deux-Sèvres Habitat⁽¹³⁾ -qui gère plus de 10 000 logements dans le département- d’être victime d’une cyberattaque de grande ampleur paralysant son activité.

Comment limiter les risques de piratages informatiques ?

Réduire les erreurs humaines

Selon Kaspersky⁽¹⁴⁾, plus de 90 % des incidents de sécurité sont dus à une erreur humaine. L’humain étant le “maillon faible” par lequel un virus peut s’introduire dans un réseau d’entreprise, il doit être sensibilisé au risque cyber. Utiliser des mots de passe forts, réfléchir à la provenance d’une pièce jointe, vérifier que le protocole HTTPS soit notifié en barre d’adresse, etc. Autant de points qui exigent la mise en place de bonnes pratiques au quotidien, voire des formations en interne.

Circonscrire les failles techniques

Les erreurs humaines ne sont pas l’unique cause de la compromission d’un réseau. Celui-ci peut également être infecté à cause de failles techniques. La crise sanitaire a forcé de nombreuses entreprises à basculer des données sensibles dans le cloud et à permettre aux collaborateurs à accéder aux données sensibles depuis leur propre matériel. Certains équipements peuvent être non sécurisés, non actualisés ou renfermer des failles techniques sur lesquels l’entreprise n’a aucune visibilité. 

La sécurité périmétrique demeure toujours la première ligne de défense à mettre en place. 

Il est impératif de vérifier que chaque point d’entrée au réseau (ordinateur, smartphone, tablette, etc.) soit correctement protégé par un antivirus, antimalware et pare-feu de dernière génération. Le dirigeant de TPE/PME ou la DSI doit pouvoir disposer d’une visibilité H24 sur ces dispositifs et réagir en cas d’attaque. De plus, ils doivent être formés pour savoir actualiser les licences de sécurité et mettre à jour les équipements et applications afin qu’ils bénéficient des toutes dernières versions et correctifs de sécurité. Les opérateurs télécoms peuvent aider l’entreprise à y voir plus clair à travers des solutions d’audit et de protection du réseau internet, du SI et des collaborateurs contre les menaces d’internet. La sécurité des terminaux (endpoints) doit englober tous les points d’entrée constitués par les utilisateurs finaux : postes de travail, mobiles, ordinateurs portables, etc. Les TPME doivent se doter de solutions de protection avancées (chiffrement du smartphone, authentification renforcée, Wi-Fi sécurisé, renforcement des postes de contrôle, sécurité embarquée...) pour faire face aux pirates, organisations criminelles, voire même aux collaborateurs agissant par malveillance ou imprudence.   

Se préparer au cyber-risque : une étape fondamentale de la gestion de crise

Identifier et combler les vulnérabilités du réseau

Si le dirigeant ou la DSI d’une TPME a généralement une vision acérée des postes se connectant à internet (ordinateur fixe, portable, serveur) à un instant « t », ce n’est généralement pas le cas des autres terminaux, notamment mobiles : smartphones, tablettes, ultraportables. Il est important d’établir une liste de ces appareils et identifier ceux qui accèdent au réseau et se connectent à un cloud, afin d’identifier et de protéger chaque point d’entrée. Cette protection passe par la mise en place d’une solution antivirus et antimalware de dernière génération ainsi que par un contrôle renforcé des points d’accès.  

Se former à la sécurité numérique

Les dirigeants de TPE/PME doivent également se poser la question de savoir ce qu’ils feront et comment ils réagiront en cas d’attaque. Le Gouvernement et la banque publique d’investissement BpiFrance ont élaboré un guide cybersécurité à destination des TPE/PME. Des experts en sécurité numérique énumèrent les bonnes pratiques à adopter ainsi que les réflexes à avoir en cas d’attaque. Par ailleurs, l’ANSSI dispense des formations en ligne afin de sensibiliser les utilisateurs en milieu professionnel à la sécurité numérique afin qu’ils deviennent acteurs de leur propre sécurité et celle de leur entreprise.

Savoir réagir en cas d’attaque

Malgré le respect des règles de sécurité, une attaque informatique peut très bien réussir. Les derniers chiffres 2020 de l’ANSSI le prouvent avec deux fois plus d’incidents en un an⁽¹⁵⁾. En amont, les données sensibles doivent être sauvegardées sur un Cloud sécurisé ou un serveur non relié au reste du réseau. Et lorsque l’attaque se déploie, il est primordial d’effectuer les bons gestes en débranchant les postes de travail et en s’attaquant au virus pour le supprimer totalement. Les professionnels de la cybersécurité (les opérateurs télécoms, l’ANSSI) peuvent  dépêcher des experts qui aident à résoudre les problèmes, à redémarrer le réseau et à restaurer les données en s’assurant que le virus a bien été éradiqué.

Les opérateurs télécoms, également intégrateurs de sécurité, sont des partenaires clef des TPME. Ils les aident à diagnostiquer et à sécuriser leurs réseaux. SFR Business protège votre entreprise et sécurise ses données H24 à travers des solutions ciblées. Ses offres cybersécurité peuvent être déployées rapidement et évoluer tout au long de la vie de l’entreprise.