La cybercriminalité explose. Près de la moitié des entreprises françaises a été visée par une cyberattaque en 2020. Et 16 % de ces attaques menacent la survie même des TPE, PME et ETI qui en sont victimes. Face à ce constat, le Sénat a présenté 22 propositions pour améliorer la cybersécurité des entreprises, y compris les plus modestes. Nous avons sélectionné les 10 mesures-phares.
La crise sanitaire a généralisé le télétravail, favorisé le développement du commerce électronique et accru l’usage d’équipements informatiques personnels dans un contexte professionnel. Autant de facteurs qui ont augmenté le risque d’exposition des entreprises aux cyberattaques.
La cybercriminalité visant les entreprises s’accélère
Si les grandes entreprises et la plupart des entreprises de taille intermédiaire (ETI) ont pris des mesures afin de se protéger, la cybercriminalité s’est détournée vers les petites entreprises, avec à la clé la multiplication des actes de piratage en 2020. Les chiffres sont édifiants :
- 43 % des entreprises ont constaté un incident de cybersécurité en 2020,
- 16 % des cyberattaques ont menacé la survie d’une entreprise en 2020,
- 300 % d’augmentation des attaques par rançongiciel entre 2020 et 2021, selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI),
- 6 000 milliards de dollars par an, c’est le coût de la cybercriminalité au niveau mondial en 2021, soit deux fois plus que les 3 000 milliards de dollars de 2015.
Face à ce bilan, le Sénat présente une série de propositions afin de mieux aider les PME et TPE à faire face à cette cybercriminalité galopante. Porté par les sénateurs Sébastien Meurant et Rémi Cardon, le rapport d’information de la Délégation aux entreprises du Sénat présenté le 10 juin dernier pointe les lacunes des pouvoirs publics, notamment la méconnaissance « de la grande majorité des entreprises » des acteurs publics de la cybersécurité. Il note aussi la faible protection des PME et TPE face à ces menaces.
Les TPE et PME sont le maillon faible
Avec la massification du télétravail, les services informatiques des grandes entreprises ont mis en place un politique de Zero trust (confiance zéro) : aucun utilisateur sur le réseau n’est totalement digne de confiance. De plus, la notation ESG (environnement, société, gouvernance) prend maintenant en compte la cybersécurité qui devient ainsi une dimension essentielle de la gouvernance et de la responsabilité sociétales (RSE) des entreprises.
Si les grands groupes et les ETI « ont pris des mesures de défense compliquant la tâche des cybercriminels », cela a eu pour effet de détourner la cybercriminalité vers les plus petites entreprises, plus à la peine. TPE et PME manquent de moyens humains et techniques ainsi que d’une culture de la cybersécurité. Le salarié est souvent le maillon faible, voire un cheval de Troie pour les cybercriminels. Les TPE/PME compensent ces manques de moyen – quand elles en mesurent l’intérêt et la portée – par le recours au cloud et à l’infogérance.
Moins protégées, elles deviennent la porte d’entrée de nombreuses cyberattaques pouvant se diffuser par effet domino. « Cette translation du risque vers des fournisseurs, sous-traitants et clients, continue à affaiblir, par rétroaction, la cybersécurité des grandes entreprises » note le rapport. Un phénomène connu sous le terme de « supply chain attack ».
Quelles sont les principales menaces cyber ?
Les attaques par rançongiciel sont devenues en 2020 la principale menace avec, comme moyen d’intrusion, la pénétration dans le réseau de la société victime par ses accès externes, suite notamment à l’exploitation d’une faille de sécurité non corrigée. Arrivent en deuxième et troisième positions les piratages informatiques et les piratages de compte en ligne rendus possibles suite à un hameçonnage (phishing) par faux e-mail ou par la réutilisation d’un même mot de passe sur plusieurs sites.
Les entreprises les plus petites pensent être à l’abri de ces cyberattaques. Mais c’est une illusion parfois mortelle : une entreprise peut fermer après une cyberattaque. Et les coûts indirects se révèlent parfois après un fort délai de latence. Pour une cyberattaque préparée en trois à six mois, l’entreprise vit une intense crise de trois semaines et met trois mois pour revenir à la normale. Cependant, les répercussions peuvent se dérouler sur trois ans.
L’explosion de l’Internet des objets (IoT), de l’intelligence artificielle (IA) et l’arrivée de l’ordinateur quantique nécessitent que les entreprises relèvent fortement leur niveau de cybersécurité.
À cette fin, le rapport préconise un certain nombre de propositions. Les dix principales sont :
1. Promouvoir le dispositif Cybermalveillance.gouv.fr
La France dispose d’un dispositif national d’aide aux victimes de cyberattaques, la plateforme cybermalveillance.gouv.fr. Refondue début 2020, elle a pour missions d’assister les victimes, de les informer sur les menaces, et des moyens de s’en protéger. En 2020, 10 000 entreprises « sont venues y chercher assistance à la suite d’une attaque. » Afin de renforcer ses effectifs et sensibiliser les jeunes, des étudiants disposant des compétences numériques adéquates pourraient y effectuer leur service civique.
2. Ouvrir un guichet de recueil anonymisé des plaintes
Les sénateurs proposent d’ouvrir un tel guichet afin d’encourager les entreprises à signaler les cyberattaques sans porter atteinte à leur réputation. Une telle mesure découragerait également la publicité autour des logiciels malveillants et permettrait de recueillir des données statistiques fiables.
« Il n’existe pas à ce jour d’organisme dont la mission serait de collecter et d’anonymiser les incidents cyber » déplorent les sénateurs et d’ajouter : « Cette absence de base de données contribuerait à une prise de conscience du risque cyber. »
3. Jusqu’à 5 000 € de crédit d’impôt pour s’équiper et se former
Le Sénat préconise la mise en place d’un crédit d’impôt à destination des TPE et PME qui couvrirait jusqu’à 50 % de leurs dépenses d’équipement (logiciels ou abonnement cloud) et de formation en matière de cybersécurité, et ce, à hauteur de 5 000 euros.
4. Permettre le remboursement par les assurances des sinistres cyber
Les assurances doivent prendre en charge des sinistres cyber. À cette fin, les sénateurs proposent de :
- répertorier de manière exhaustive les différents sinistres possibles,
- réserver le remboursement des assurances aux entreprises ayant eu recours à des logiciels et experts en cybersécurité certifiés par le label « ExpertCyber »,
- créer une agence de cybernotation européenne, utilisant les référentiels de l’ANSSI ou de son équivalent européen, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA).
Par ailleurs, les sénateurs ne souhaitent pas rendre assurable le risque d’attaque par rançongiciel (ransomware). Si l’assureur payait une rançon aux cybercriminels cela ne garantirait pas que l’entreprise puisse retrouver ses données ou redémarre son activité. Assurer les rançongiciels inciterait aux répliques, financerait la cybercriminalité, voire le terrorisme. « Les rançons attirent les criminels. On constate une baisse des attaques vers les hôpitaux publics, car ils n’ont pas les moyens de payer une rançon. » justifie le sénateur Sébastien Meurant.
5. Développer l’offre d’un ensemble de solutions de cybersécurité
Les sénateurs souhaitent que les TPE et PME puissent avoir accès à un « package » simple d’utilisation de solutions de cybersécurité.
6. Faciliter la mutualisation des responsables de la sécurité des services informatiques (RSSI)
Le rapport réclame la constitution de groupement d’employeurs ayant un statut de tiers de confiance afin de mutualiser les RSSI. Les TPE et PME qui n’ont pas de RSSI pourraient ainsi profiter de leur expertise.
7. Faire réaliser un audit cybersécurité annuel par les experts-comptables et commissaires aux comptes
Les experts-comptables et les commissaires aux comptes (CAC) sont invités par les sénateurs à réaliser « un diagnostic de cybersécurité annuel, avec un cahier des charges construit avec les autorités publiques, qui doit être communiqué directement aux dirigeants à titre d’information, avec les recommandations de base pour couvrir les risques ».
8. Développer la conception sécurité, « Security by design »
Dans leur rapport, les sénateurs notent que « de nombreux interlocuteurs ont rappelé que les fabricants de logiciels ne sécurisaient pas suffisamment leurs produits ». Pour responsabiliser les éditeurs, les sénateurs souhaitent renforcer le « Security by design » des logiciels vendus aux TPE et PME. Cela consiste à légiférer sur les mises à jour en étendant la garantie logicielle d’au moins deux ans aux mises à jour de sécurité.
9. Sensibiliser les dirigeants sur leur responsabilité personnelle
Tout comme les salariés, les dirigeants d’entreprise doivent être sensibilisés à la cybersécurité. En cas de cyberattaque, la responsabilité personnelle des dirigeants peut être engagée. « L’omission de la mise en place de mesures de sécurité suffisantes pourrait caractériser une faute susceptible d’engager la responsabilité civile de l’entreprise ou de son dirigeant ». Un risque juridique souvent méconnu, soulignent les sénateurs.
10. Former les salariés et les sensibiliser à la cybersécurité
« Chaque salarié dispose de la clé de la cybersécurité de son entreprise », notent les sénateurs. Pour eux, c’est à la formation professionnelle de changer la donne. Ainsi, deux amendements au projet de loi portant sur la lutte contre le dérèglement climatique ont été déposés afin d’intégrer la cybersécurité dans les formations proposées par les opérateurs de compétence (OPCO).
Les auteurs du rapport souhaitent également créer des formations courtes en cybersécurité (niveau bac +2) pour former davantage de cyberopérateurs.
