Les PME: des cibles de plus en plus convoitées par les cybercriminels

TECHNO – La taille d’une entreprise, son volume d’affaires, son nombre d’employés ne sont aujourd’hui plus des prérequis d’attaques, car les motivations ont changé. La malveillance est devenue un business à part entière dans lequel l’exploit revendiqué sur des grandes entreprises ou organismes d’Etats a laissé place à l’efficacité et à la rentabilité.

Les PME, une cible au même titre qu’un grand compte

Toutes les cibles potentielles et tous les moyens sont bons pour y parvenir. La nature confidentielle ou critique des éléments du patrimoine informationnel d’une PME ne doit pas seulement être déterminée en fonction de ce que l’entreprise considère comme tel, mais dans la possibilité que ces données ont d’être convoitées par un attaquant éventuel. Si la liste des employés ne paraît pas stratégique, il n’en reste pas moins que ce sont des éléments de valeur pour les cybercriminels et donc des actifs recherchés. Plus grave, car nettement plus impactant pour la survie et la réputation d’une PME, les cybercriminels, dont la spécialité est l’espionnage économique, savent pertinemment que les PME sont des créatrices de richesse et d’innovation, possédant des informations liées à la recherche & au développement, des informations clients, stratégiques, commerciales pertinentes et donc vendables jusqu’à l’autre bout du monde à qui sera intéressé.

Par ailleurs, certaines de ces PME sont également partenaires, prestataires de grands comptes et donc détentrices d’informations clients parfois stratégiques et extraites de leur périmètre, d’habitude sécurisé. Les PME, maillons faibles des grands comptes si insuffisamment sécurisées peuvent donc constituer des points d’attaques de choix. Experts comptables, gestionnaires de fonds, conseillers en management de transition et en ressources humaines, cabinets d’avocats, filiales métiers et bien d’autres en sont autant d’exemples.

Le 24 mars dernier, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et la CGPME ont d’ailleurs rendu public un guide de bonnes pratiques de l’informatique à l’attention des PME, se présentant sous forme de 12 règles essentielles pour sécuriser les équipements numériques les plus souvent utilisés. Ces bonnes pratiques – adaptées des 40 règles références en hygiène informatique de l’ANSSI – concernent plutôt la couche comportementale, autrement dit « humaine » de la sécurité informatique, et donc tous les collaborateurs d’une PME.

Cependant, cet effort d’adaptation aux PME doit également porter sur le cœur des réseaux informatiques de ces entreprises et envers les équipes auxquelles il revient de s’en charger, de leur conception à leur gestion. L’équation n’est pas simple, car ces entreprises ne disposent pas forcément d’une équipe IT interne dédiée, qui plus est formée à la sécurité. Intrinsèquement et relativement à un contexte économique plutôt morose, elles n’ont pas non plus à disposition des budgets illimités pour s’offrir une infrastructure à l’architecture totalement sécurisée, surtout au regard des solutions matérielles et/ou logiques généralement proposées sur le marché, qui de surcroît leur apparaissent « surdimensionnées ».

La nécessité de solutions jusqu’alors réservées aux grands comptes, correctement dimensionnées pour les PME

S’il est de la responsabilité des acteurs de la sécurité de suivre l’évolution de la menace et de prévenir les PME encore peu à même de prévenir, de détecter et de tirer les enseignements des attaques, sur leur statut de cible et l’importance de se protéger, il leur revient de répondre à ces besoins de manière proportionnée et correctement dimensionnée. La sécurité informatique jusqu’alors très élitiste, car principalement tournée vers les grands comptes, avec toute la complexité que cela suppose, doit aujourd’hui passer par une phase de rationalisation pour s’adresser aux PME. Les PME et ETI sont de plus en plus sensibles aux impératifs de sécurité mais n’en sont pas moins contraintes par leurs budgets plus réduits que ceux des grands comptes et du fait de ressources limitées en nombre et en compétences. Par ailleurs, la palette des métiers liés à la sécurité informatique quoiqu’impressionnante aujourd’hui, reste très peu lisible pour une PME.

En bref, les solutions vendues sont surdimensionnées, complexes à configurer, nécessitent des analystes de pointe et sont définitivement trop chères pour les PME.

Que ce soit dans la conception ou l’évolution de leur réseau, il est essentiel de greffer la sécurité au plus tôt des projets et de proposer non plus des produits d’un côté, du conseil de l’autre, mais bel et bien un service, répondant à un besoin de bout-en-bout et sur l’ensemble du continuum d’attaque. Les PME, comme les grands comptes, doivent davantage s’intéresser à la menace, inévitable, à savoir avant l’attaque, grâce à une connaissance accrue de la menace, pendant pour limiter l’impact, empêcher l’attaque de s’infiltrer sur l’ensemble du SI et après une attaque, autrement dit et surtout dans des attaques discrètes de voir si l’intégrité du système est préservée.

Les PME de par leur taille et/ou leur activité et métier n’ont pas forcément des infrastructures très complexes, ou des réseaux très étendus géographiquement ou encore un tel nombre d’utilisateurs que les coûts s’envoleraient. Leurs métiers ne nécessitent pas forcément non plus l’utilisation ou l’acquisition de technologies répondant à des problématiques diverses et complexes. Néanmoins, la menace est la même pour les PME et ne cesse d’évoluer en ingéniosité et en furtivité, mais l’équation réseau pour la contourner n’est peut-être pas en terme d’architecture, de systèmes ou d’applicatifs aussi difficile que pour un grand groupe.

C’est la raison pour laquelle les moyens doivent être aussi efficaces pour les uns que pour les autres, les moyens dédiés à la PME devant aller à l’essentiel. Les architectures pourraient d’ailleurs à terme être entièrement repensées, avec la possibilité de gérer d’un seul tenant l’ensemble des couches informatiques et de s’intégrer au plus près des processus métiers.

Cette manière d’aborder la sécurité auprès des PME comme un service est essentielle pour relever les nouveaux challenges induits par les nouvelles surface d’attaques : délocalisation des données, Cloud, Internet des objets (montre connectée, véhicule connecté,…) .

Le réseau Internet est devenu un territoire à part entière pour voler, escroquer, espionner, exercer des chantages mais également une plaque tournante du commerce illégal, certes de produits illicites mais aussi de données (numéros de carte bancaire, données à caractère personnel, documents stratégiques d’entreprise, …), dans un but purement mercantile. C’est la raison qui explique que le web est vecteur d’attaques tant de masse que ciblées, et touchant aussi bien les particuliers, les Etats que toute entreprise.