La cybersécurité, un nouvel enjeu pour les PME
La plupart des cyberattaques ne sont pas très sophistiquées et le respect de quelques règles “basiques” suffit souvent à les repousser. Encore faut-il s’intéresser à ces règles basiques…
Un petit chiffre pour situer l’ampleur du problème: les attaques de phishing dans les entreprises belges ont progressé de… 667% depuis la pandémie de Covid-19, relaie le bureau EY dans une étude sur la cybersécurité, publiée ce jeudi 12 mai à l’occasion du cocktail de printemps de Trends-Tendances, de la RTBF et du Cercle de Wallonie. Ce n’est pas juste une coïncidence de calendrier, la pandémie fut bel et bien un “facteur important” de la croissance des cyberattaques, affirme Marie-Laure Moreau, managing partner d’EY pour la Wallonie. “Les entreprises ont accéléré leur numérisation pour faciliter le télétravail et permettre la poursuite de leurs activités, explique-t-elle. Des nouvelles technologies ont été mises en place et de plus en plus d’appareils ont été connectés. Cette évolution n’a pas toujours été menée dans un environnement très sécurisé et cela a ouvert des fenêtres d’opportunité pour les cybercriminels.”
La question n’est plus ‘Allons-nous subir une cyberattaque? ‘, mais quand surviendra- t-elle?”
Marie-Laure Moreau, “managing partner” EY pour la Wallonie
Une enquête menée au niveau planétaire par EY indiquait que 81% des entreprises avaient été contraintes à “contourner les processus cyber existants” pour continuer à fonctionner pendant la pandémie. En Belgique, une étude du SPF Economie indiquait, en mars dernier, que 21% des PME de moins de 50 personnes (et 10% des moins de 10 personnes) avaient été victimes d’un “incident de sécurité informatique”. L’administration avait alors élaboré un “Cyberscan” grâce auquel les PME peuvent évaluer leur résistance à de telles attaques et découvrir des outils pour améliorer leur défense.
Lire aussi: Une “cyber valley” wallonne
Sensibiliser les PME
“Il y a quelques années, la cybersécurité était un point en fin d’agenda dans les réunions des comités d’audit, poursuit Marie-Laure Moreau. Aujourd’hui, tout le monde a pris conscience de la gravité de la situation. La question n’est plus ‘Allons-nous subir une cyberattaque? ‘ mais ‘Quand surviendra-t-elle et pourrons-nous restaurer rapidement nos données?’” Si les grandes entreprises peuvent a priori constituer des équipes spécialisées pour affronter ces défis informatiques, il en va tout autrement dans les milliers de PME, où l’IT est géré avec les moyens du bord, sans personnel dédié.
“Quelques règles basiques permettent déjà de limiter les risques, pointe Pascal Laffineur, CEO de NRB, société de services informatiques appartenant au groupe Ethias. Avoir par exemple des logiciels bien à jour est déjà un élément très utile, tout comme procéder régulièrement à des tests de phishing pour sensibiliser le personnel. De nombreuses attaques surviennent quand des collaborateurs, croyant bien faire, cliquent un peu trop vite sur des liens malicieux. Ce serait une erreur de croire que la cybersécurité, c’est d’office des solutions sophistiquées et onéreuses. Des mesures basiques et peu coûteuses peuvent être très précieuses. La plupart des attaques ne sont d’ailleurs pas très sophistiquées, il y a vraiment moyen de se protéger.” Le travail de sensibilisation existe. En Belgique, quelque 8.000 mails suspects sont ainsi signalés chaque jour aux autorités. Mais cela ne suffit manifestement pas à éluder le risque d’attaque.
Marie-Laure Moreau souligne l’intérêt des tests d’intrusion, à travers lesquels des spécialistes se comportent en “hackers légaux” et tentent de s’immiscer dans les systèmes d’une entreprise pour tester la robustesse de son environnement informatique. “C’est étonnant de voir comment ces experts parviennent, parfois très rapidement, à entrer dans un système informatique”, concède-t-elle. Et c’est effectivement un moyen idéal de détecter les éventuelles failles.
101 jours pour détecter une attaque
L’une des clés est la détection de l’infection. En moyenne, il faut 101 jours pour qu’une entreprise détecte une attaque, pour qu’elle réalise la raison du ralentissement progressif de son système informatique. Et, évidemment, pendant tout ce temps, le hacker peut voler les données et le virus les infecter. “Il faut vraiment s’armer pour pouvoir détecter plus rapidement les attaques, insiste Marie-Laure Moreau. Aujourd’hui, seuls 12% des organisations sont capables de détecter les menaces.” “S’introduire sans se faire voir pour pouvoir voler des informations sur une longue période, c’est le principe de nombreuses cyberattaques, renchérit Pascal Laffineur. Il est alors utile d’avoir une personne dédiée à ces sujets, qui prend la peine de regarder régulièrement les problèmes et qui, en cas de doute, pourra solliciter une intervention. Un chèque-cybersécurité, ce n’est pas très cher, même pour une petite PME. C’est un véritable investissement avec d’ailleurs un retour quasi assuré!”
Le chèque-cybersécurité a été mis en place par les autorités wallonnes pour aider les entreprises à financer un “cyberdiagnostic” de leurs infrastructures. Selon l’Union wallonne des entreprises, l’écosystème des prestataires de services n’est toutefois pas encore bien développé et la qualité des services reste parfois un peu aléatoire. “Mais les choses bougent, se réjouit Lisa Lombardi, experte Entrepreneuriat, PME et Numérique à l’UWE. Les universités et les hautes écoles proposent des formations en cybersécurité, il y a des formations spécifiques pour les demandeurs d’emploi ou pour les responsables de PME.” Cet élan devrait prendre de l’ampleur avec le lancement de Cyberwal à Transinne. Ce consortium réunit une trentaine d’acteurs wallons avec l’ambition de développer la recherche, l’innovation et la formation en matière de cybersécurité. “L’UWE, comme Agoria d’ailleurs, s’associe à cette initiative qui unit les forces pour convaincre que cette thématique doit devenir prioritaire pour les entreprises”, ajoute Lisa Lombardi.
Cette initiative s’ajoute au travail amorcé en ce domaine chez A6K à Charleroi, à proximité du nouveau quartier militaire qui accueillera la composante Cybersécurité de l’armée belge, et sur l’e-campus de Tournai, qui fut l’un des pionniers en Wallonie. Est-il préférable de rayonner sur tout le territoire au départ de plusieurs pôles ou, plutôt, de concentrer les forces dans un grand pôle d’excellence? “Si l’on cherche à toucher les plus petites PME, il est intéressant d’avoir des centres délocalisés, auxquels elles peuvent plus facilement s’adresser”, répond Pascal Laffineur.
L’écueil ici sera peut-être la rareté des compétences: les entreprises peinent déjà à trouver les informaticiens dont elles ont besoin, peut-on décemment multiplier les centres publics susceptibles de leur venir en aide sur la cybersécurité? “Si nous pouvions convaincre de plus de plus de personnes de se former à la cybersécurité et à l’IT en général, ce serait formidable, conclut le patron de NRB. Ce créneau n’est pas réservé aux ingénieurs et aux bac+5, il y a moyen de former beaucoup de personnes.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici