Les PME ne sont pas protégées contre la cybercriminalité. Et après ?

Si les grandes entreprises ont entrepris de se protéger, les PME sont loin, très loin de ces problématiques. Comment les convaincre du risque, et quelles solutions leur apporter? par Diane Rambaldini - Crossing Skills

Les PME françaises sont mal protégées et absentes des statistiques. En matière de criminologie, la victimologie plaide pour une meilleure prise en compte de la victime et de sa défense. Cette discipline a pourtant longtemps fait débat quand elle s'est attachée à constituer et décrire des profils-types de victimes. Jugée contraire à sa philosophie originelle car faisant peser malgré elle le poids de la survenance de l'acte criminel sur la victime et non sur l'auteur des faits, cette pratique finit par tomber en désuétude dans les années 80.

A l'heure des cybermenaces protéiformes, d'enjeux économiques forts, il est pourtant bien tentant de se poser la question d'un profil type de victime face à l'acte cybercriminel. Ne serait-ce que pour savoir comment agir... Le cybercriminel choisit-il ses victimes en fonction de critères ? Et si oui, lesquels ?

Pas de données concernant les PME

Sans trop nous avancer, il est facile de démontrer que derrière chaque mobile, se profilent des cibles particulières. Néanmoins, les victimes les plus flagrantes et immédiates sont déterminées beaucoup plus par le fait qu'elles ne sont pas protégées que par un tout autre motif, comme le veut la théorie du maillon faible. Parmi elles, se trouvent des petites et moyennes entreprises.

Un constat prouvé par les chiffres ? Plutôt par l'absence de chiffres. Au-delà des statistiques connues en matière de cybercriminalité et de son impact sur le tissu économique mondial, c'est plutôt l'absence de données concernant la protection particulière des PME face au risque cyber qui intrigue.

De nombreuses enquêtes et études existent, à l'instar de celles de McAfee, de l' Internet Security Threat Report de Symantec, de la Global Economic Crime Survey de PWC, du Center for Strategic and International Studies (CSIS) Report, ou encore du Panorama de la cybercriminalité réalisé annuellement par le Club Français de la Sécurité Informatique (CLUSIF).

La plupart sont menées à l'échelle internationale et sur un large panel d'organisations mais ne nous renseignent qu'ici ou là spécifiquement sur les PME ; si tant est, en outre, que le critère de qualification de petite ou moyenne entreprise corresponde bien à nos critères nationaux, comme celui de l'effectif par exemple.
Ces mentions spécifiques aux PME demeurent donc rares et pour cause. Insuffisantes sont les PME à être parties prenantes à ces études pour disposer d'une granularité suffisante d'analyse.


Un vide préoccupant

Comment expliquer le peu d'enquêtes dédiées aux PME, ou alors que les PME soient si peu nombreuses à répondre aux enquêtes généralistes existantes? Pourquoi ne dispose t-on pas à d'indicateurs propres comme par exemple la part d'investissement que les PME concèdent à des solutions de sécurité ?
Est-ce parce que le marché ne s'intéresse pas à elles ou que les sondeurs ne voient pas l'intérêt de s'adresser à cette cible ? Ou, est-ce tout simplement parce qu'elles ne se sentent pas assez concernées pour prendre le temps de répondre aux enquêtes ? Comment expliquer ce vide préoccupant ?
Les PME, dont l'effectif est de moins de 250 salariés, sont radicalement tournées vers leur cœur de métier et disposent rarement d'un responsable de la sécurité ou de la stratégie et encore moins de documents de référence comme une politique de sécurité. C'est une entreprise dépendante de son image de marque. Elle va donc éviter de communiquer sur les attaques dont elle pourrait faire l'objet et pire, ne pas porter plainte, si tant est d'ailleurs qu'elle ait été en capacité de détecter et de qualifier ces incidents comme des atteintes malveillantes.

Une méconnaissance de l'écosystème

Sans même parler des attaques de masse, les dirigeants de PME, peut-être par méconnaissance de leur écosystème international, ont tendance à se positionner dans l'échiquier compétitif d'après leur poids économique et leur volume d'affaires et non d'après le pouvoir attractif de leur savoir-faire, de leur connaissance du marché, de leurs clients ou encore de leur expérience accumulée. Ils ne réalisent pas en quoi ils suscitent de l'intérêt alors même que leur rayonnement est faible, que leur entreprise est peu connue, voire peu digitalisée. Une autre part de dirigeants, plus consciente de la valorisation de son patrimoine immatériel est davantage focalisée sur la propriété intellectuelle mais sous un angle juridique (dépôt de brevets, antériorité des innovations, etc..). Ces dirigeants sous-estiment l'angle technique et la façon dont Internet pourtant omniprésent dans leur quotidien est un moyen de porter atteinte à ces mêmes biens (destruction, modifications d'éléments, publicité, espionnage à but concurrentiel).

Une non culture informatique

A leur décharge, il faut dire que rien ne prédestinait ces entreprises à se soucier de leur informatique.
Longtemps un luxe pour quelques entreprises, l'informatique s'est démocratisée et a, en quelques années, innervé le monde de l'entreprise mais aussi les foyers et donc l'individu. Les fournisseurs de matériels informatiques, d'accès Internet, éditeurs de logiciels et autres fabricants n'ont eu de cesse de travailler l'ergonomie des interfaces, la facilité d'utilisation, la transposition de la commande informatique à celle d'un ordre humain, pour gagner toujours plus de temps, de performance et de qualité d'exécution. L'utilisateur a donc toujours été dispensé de comprendre et de connaître les entrailles de cette informatique, aboutissant à une non-culture informatique profonde de notre société. L'histoire se répète pour la sécurité informatique.
A t-on accompagné le changement d'environnement informatique, l'ouverture quasi incontrôlable d'Internet et ses dangers ? A t-on mis en garde assez tôt les utilisateurs et les bons pères de famille ? A t-on réalisé à temps qu'on vendait au grand public un opium numérique en libre service dont il ne connaît ni les ingrédients et encore moins leur provenance, ni les filières, ni les fabricants ni les consommateurs et encore moins les effets secondaires ?

C'est le sens de l'Histoire et il serait bien inutile de chercher des coupables si tant est d'ailleurs qu'il y ait eu faute... Néanmoins, ce n'est ni une campagne de reproches systématiques ni un martèlement méprisant et jargonneux à l'encontre des utilisateurs qui améliora la sécurité de tous.

Dans ces conditions, car de l'utilisateur au collaborateur il n'y a qu'un pas, il est évidemment difficile de demander leur avis sur la cybersécurité aux TPE/ PME avant de les avoir convaincues qu'elles en sont des parties prenantes. C'est bien ce qui explique qu'il n'existe, comme l'énonce d'ailleurs l'analyse très intéressante et en transparence faite après la tentative d'une étude réalisée dans le cadre du projet européen 2CENTRE et intitulée « Cyber-sécurité et PME : perception du risque, pratiques, besoins » « aucune étude statistique crédible sur la perception du risque cyber par les PME. » Cette étude devait être menée sur la base des résultats d'un questionnaire en ligne relayé par les bons canaux de communication. Mais sur un total de 230 connexions, ce qui est déjà faible, seules 83 entreprises ont rendu un questionnaire complet. C'est bien loin du millier nécessaire et attendu, pour en tirer des statistiques pertinentes.


Comment atteindre et impliquer les PME.

Les PME sont donc des victimes et c'est bien aujourd'hui leur seul statut. Un statut vide de sens. Comment atteindre ces entreprises et leur faire comprendre qu'elles sont à la fois des cibles de masse mais aussi de choix ? Et quelles solutions concrètes apporter pour amorcer un processus de responsabilisation ?

A) Travailler la cohérence de l'argumentaire « transformation numérique »

Se mettre aujourd'hui à la place d'une PME révèle bien des choses, et notamment l'enjeu politique schizophrène dont elles font l'objet, cibles de tout et de n'importe quoi. Alors qu'il leur est reproché de ne pas appliquer des règles de cybersécurité, rimant pour elles avec nouvelles contraintes et nouveaux postes budgétaires, elles sont fortement sollicitées par diverses offres et initiatives politiques pour amorcer leur virage numérique, alors même que 50% d'entre elles rejettent l'idée de se digitaliser. Beaucoup d'entre elles ne souhaitent pas investir dans le numérique (cloud, dématérialisation, politique de communication sur les réseaux sociaux, etc...). Ce n'est donc pas pour investir dans la sécurité de ces outils numériques. Cela n'a rien de très rationnel car certaines d'entre elles disposent d'un site internet, d'ordinateurs et de logiciels pour fonctionner mais cela donne le ton.

La croyance d'une amélioration de leur compétitivité via la performance numérique, si tant est qu'elle soit démontrable, ne sera de toutes façons possible qu'en situation de pleine confiance et si les influenceurs du numérique travaillent main dans la main avec le secteur de la cybersécurité. Vendre du numérique sans maîtrise intégrée du risque ne fera que systématiquement reculer l'obstacle de la digitalisation de notre tissu économique.

Concrètement, s'il ne fait aucun doute que le numérique, représenté par Axelle Lemaire, Secrétaire d'Etat dédiée, et la cyberdéfense (plus que la cybersécurité) représentée par les ministères de la Défense, de l'Intérieur et de l'ANSSI ont des places de choix dans la stratégie gouvernementale, il est encore trop rare de trouver les deux sujets mêlés en un même discours. L'ensemble des réflexions autour du numérique ne doit pas se départir de la question des risques qui lui est inhérente et l'économie aurait tout à gagner si des acteurs de la cybersécurité étaient invités à rejoindre des initiatives comme la French Tech, comme il serait tout à fait appréciable que la French Tech soit représentée dans des instances où l'on débat de cybersécurité.
Placer la cybersécurité sous l'égide du ministère de l'économie ne serait-il d'ailleurs pas un signal fort ? Lorsqu'on fait état de l'enjeu national que représente la cybersécurité c'est bien aussi parce que toute attaque à l'encontre d'entreprises met en péril leur survie, donc des emplois et donc la croissance.

B) Innover plutôt qu'adapter !

La cybersécurité telle qu'elle est pensée, dictée, marquetée, normée et vendue, est-elle vraiment adaptée aux TPE / PME ? Quant il est revendiqué qu'une quinzaine des quarante règles d'hygiène de l'ANSSI sont applicables aux PME, est-ce au dirigeant de la PME qui n'y connaît rien de faire le tri, alors même qu'aucune règle ne l'y contraint ? Peut-on vraiment demander à une PME tout aussi critique soit elle, d'appliquer coûte que coûte les mêmes bonnes pratiques dictées aux opérateurs d'importance vitale, sans même avoir relevé avec soin son niveau actuel et cible de sécurité, sans connaître son état de la menace ?

Endosser l'habit d'un chef d'entreprise d'une PME, c'est prendre des risques au quotidien, naviguer dans les eaux troubles de l'économie et de ces cycles et c'est aussi crouler sous le poids normatif et réglementaire (sécurité au travail, développement durable, qualité et que sais-je encore.)

La cybersécurité ne travaille aujourd'hui qu'avec les clients historiques, les grands industriels, le monde militaire et les grandes entreprises voire grandes ETI. De très rares PME aux activités très sensibles sont concernées.
C'est un leurre de croire que la cybersécurité n'a besoin que d'être « adaptée » au marché des PME avec des prestataires actuels qui ne connaissent pour la plupart les codes que des grands groupes, et avec les prestations et modèles économiques qu'on connaît aujourd'hui.
Non, le challenge de la PME est complexe et reste à inventer.

Cela passe par davantage de pragmatisme. Il y a fort à parier qu'une PME peut difficilement se budgéter une prestation d'audit puis un consultant à demeure pour appliquer les recommandations, auxquelles il faut ajouter l'achat de produits de sécurité dédiés, alors même que la situation de cette PME ne présenterait pas de défis singuliers. A côté d'outils technologiques standardisés moins sur-mesure qu'il conviendrait de développer et de marqueter pour les PME, de modèles économiques à repenser, c'est la réflexion autour d'offres intégrées qui devra être également menée notamment par les cabinets de conseil, qui dans un contexte économique tendu, doivent se réinventer.

Quand on sait que innovation va de pair avec compétitivité et donc croissance, à tous ceux qui pensent que le marché de la cybersécurité dédié à la PME ne vaut pas la peine, méditons ceci : "la cyber-criminalité est un impôt sur l'innovation; elle ralentit le rythme de l'innovation dans le monde en réduisant la rémunération des innovateurs et des inventeurs" (Jim Lewis, membre du CSIS)


C) Démontrer, expliquer, sensibiliser

Quand les PME jouiront d'une représentativité dédiée, d'offres strictement dimensionnées et réservées à leur niveau de maturité, et quand le tout sera extrait d'un milieu très militaro-industriel, un bout de chemin aura été fait, mais toute avancée ne s'exonèrera jamais de sensibilisation.

La sécurité est anxiogène et n'attire pas les foules. Et susciter la peur est à n'en pas douter la démarche la moins crédible pour convaincre une PME de s'investir du problème. N'importe quel dirigeant de PME pourrait citer mille scénarii de dangers immédiats bien plus terre à terre que celui d'une cyberattaque qui pourraient le contraindre à mettre la clé sous la porte. Un procès perdu aux Prud'hommes par exemple. Convaincre que les cyberattaques sont des dangers réels, quotidiens et pouvant mettre en péril la survie de l'entreprise exige de le démontrer. Les pressions réglementaires, fiscales et économiques ne laissent pas de place aux investissements hypothétiques. Seules des démonstrations réelles, chiffrées, concrètes et démontrant ce qu'on peut gagner grâce à la protection de ces systèmes d'information et de communication capteront l'attention des exécutifs de PME.

Si les PME ne viennent pas d'elles-mêmes s'informer, il faut aller vers elles. Les Chambres de commerce et d'industrie, les pôles de compétitivité, les syndicats professionnels comme le CGPME, le MEDEF, le SYNTEC, mais également les clubs de dirigeants locaux, associatifs ou politiques sont autant de terrains à occuper pour aller au devant de ces acteurs aux agendas bien remplis.
Le réseau de la réserve citoyenne cyberdéfense, dont la couverture est tant nationale que régionale, est une aubaine pour créer du lien avec les PME. Les réservistes à travers leurs missions de sensibilisation peuvent subvenir à des besoins, comme l'apport d'éléments de langage, des supports de sensibilisation et tout simplement répondre à des questions.

Sujets les + lus

|

Sujets les + commentés

Commentaires 2
à écrit le 15/02/2015 à 14:14
Signaler
Excellent résumé de la situation. Vous avez déjoué toutes les platitudes que les éditeurs et médias nous servent habituellement sur le sujet. Ils ne font que susciter la peur au lieu d'écouter et comprendre les problèmes quotidien d'une PME. Merci po...

à écrit le 11/02/2015 à 16:34
Signaler
Bravo, c'est à la fois une analyse brillante et pertinente sur le besoin de coupler innovation et protection en évoquant, tel Lagardère, qu'il faut aller aux devants des PME.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.