Cybersécurité

Petite entreprise touchée par une cyberattaque : Quels risques ?

La cybersécurité des petites et moyennes entreprises est régie par 4 affirmations :

  • 90% des victimes d’attaques de logiciels malveillants sont des TPE / PME
  • Plus de 40% des PME ont connu un incident de cybersécurité en 2023.
  • Dans plus d’un cas sur deux, le préjudice total a été chiffré à plus de 300 000€.
  • Vous ne devriez pas vous demander si vous subirez une cyberattaque, mais quand

Vous l’aurez compris, la menace d’une cyber attaque est à prendre très au sérieux, surtout pour les TPE / PME qui ne sont pas toujours staffées et équipées pour y faire face, tant pour les prévenir que pour y remédier (comme ce fut le cas par exemple lors de la compromission des solutions AnyDesk en février 2024). Nous allons voir dans cet article les risques pris si le sujet « cybersécurité » est mis de côté par les organisations en attendant de pouvoir s’en occuper plus sérieusement.

 

Qu’est-ce qu’une cyber-attaque ?

Définition et lien avec l’ANSSI

L’ANSSI est une entité étatique chargée de « construire et organiser la protection de la Nation face aux cyberattaques », que ce soit en prévention ou en accompagnement en cas d’attaque. Nous en reparlerons souvent dans nos articles car cette entité à un rôle de « phare » : elle aide grandement les entreprises (au sens large, y compris les professionnels de la cybersécurité) à naviguer selon chaque cas (même si les professionnels de la cybersécurité ont bien évidemment une capacité de réaction certaine, même en cas d’absence de recommandations de l’ANSSI).

Il nous paraît cependant pertinent de la citer au moment de vous définir une cyberattaque, que vous pourrez ainsi comprendre tel que :

« Un ensemble coordonné d’actions menées dans le cyberespace qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité ou à leur confidentialité.

Une cyberattaque peut être ponctuelle ou s’inscrire dans la durée. »

 

Pour aller plus loin, une cyberattaque est aujourd’hui considérée comme un acte de cyberterrorisme. Elle a très souvent pour objectif de pirater ou d’investir un Système d’Information pour extraire (voler) des données et/ou désorganiser une structure.

Fonctionnement général des cyberattaques

On peut classer les cyberattaques en 2 catégories :

  • Celles qu’on peut qualifier de « logicielles » ou « techniques » (qui passent par l’utilisation d’un logiciel malveillant (malware). La plupart des types d’attaques le sont.
  • Celles qui au contraire n’utilisent pas de malware, mais plutôt un contenu malveillant. C’est notamment le cas du phishing. Bien qu’étant le seul type d’attaque ne passant pas par un malware, il représente 74% des cyberattaques sur les organisations professionnelles. (@CESIN).

Ces 2 catégories peuvent à leur tour être encore scindées en 2 autres catégories. En effet, la plupart des cyberattaques ont une caractéristique commune : l’action humaine intervient à un moment donné dans le processus. Mais certaines, comme les attaques par brute force, exploitent un déficit humain (mauvaise gestion des logins par exemple) sans utiliser une erreur spécifique au moment T.

Alterte cyberattaque petite moyenne entreprise

Exemples de cyberattaques les plus courants en entreprise

Vous retrouverez le détail plus complet de ces cyberattaques dans notre article « Les 5 types de cyberattaques qui touchent le plus les TPE / PME en 2024 »

 

Cyberattaques par phishing

Le phishing (hameçonnage) consiste à leurrer le visiteur en se faisant passer pour une entité de confiance (une personne physique… ou un site officiel factice reproduisant exactement l’officiel). Il a pour but de recueillir les données personnelles ou bancaires. Il utilise des canaux comme le SMS, l’appel téléphonique, les faux sites web, mais aussi… les mails, qui sont responsables de plus de 71% de ce type d’attaques. Autre stat effrayante : plus de 3% des e-mails mondiaux seraient des mails de phising !

 

Cyberattaques par usurpation d’identité

Ce type de cyberattaque se caractérise souvent par une attaque au président ou un faux ordre de virement (FOVi).

Elles consistent pour l’hackeur à se faire passer pour la hiérarchie d’une organisation pour réclamer un virement et / ou des données à un employé, ou bien à un tiers travaillant avec cette organisation (la banque par exemple).

 

Exploitation de failles

DDoS

Une attaque en déni de service, ou DDoS, a pour objectif de saturer un serveur ou un service en effectuant de multiples requêtes, jusqu’à le rendre très difficilement voire plus du tout accessible.

Cette attaque a la particularité d’être visible publiquement, voire médiatiquement, et donc de forcer les responsables à agir dans l’extrême urgence. Elle est particulièrement redoutée des sites marchands, et laisse penser que l’hackeur aurait accès à des données très confidentielles (coordonnées bancaires ou données personnelles), sans que ce ne soit forcément le cas.

 

MitM                                                                                          

Une attaque MitM (Man-in-the-Middle) consiste pour le cybercriminel à intercepter des informations entre 2 parties, sans qu’aucune des deux ne sache que ses messages passent par ce fameux « homme au milieu ».

Plus que du « simple » vol d’information, le MitM est souvent en capacité de modifier les messages envoyés entre les 2 parties sans se faire repérer (par exemple : capter une demande d’accès à un site et rediriger le visiteur vers un autre site frauduleux sans qu’il ne le sache).

 

Zero-Day

Les attaques zero-day sont des failles dans les systèmes d’exploitation que les cybercriminels détectent avant (voire bien avant) les développeurs. « Zero-day » signifie ainsi qu’ils ont « zéro jour » pour corriger la faille au moment où ils s’en rendront compte.

Ce sont par exemple des failles zero-day qui ont été à l’origine de la compromission des systèmes AnyDesk. N’ayant pas été découvertes dans un premier temps, plusieurs versions compromises du logiciel ont été mises en ligne avant que la faille soit découverte, laissant la possibilité aux cybercriminels d’installer des malwares pour tout téléchargement de ces versions compromises.

Plus de détail sur les différents types de cyberattaques dans cet article.

 

Quels sont les risques concrets pour une TPE / PME touchée par une cyberattaque ?

Pourquoi les TPE / PME sont-elles plus touchées ?

Les TPE/PME sont les victimes majoritaires des cyberattaques pour 3 raisons :

  • Certaines TPE / PME ont accès à un grand volume de données primordiales liées à des grosses entreprises, sans toutefois en être une elles-mêmes; C’est le cas par exemple des cabinets d’experts comptables, d’avocats, les notaires ou les établissements de santé.
  • Les équipes allouées à la cybersécurité sont de fait plus petites que celles des grosses entreprises, voire inexistantes.
  • Enfin, et c’est lié, le budget destiné aux outils en matière de cybersécurité est très souvent inférieur à celui d’entreprises plus importantes.

Et pourtant, bien que de taille plus modeste, les risques liées à une cyberattaque n’en sont pas moins importants.

 

 

5 conséquences principales pour les petites entreprises victimes de cyberattaques

 

 

Ransomware

C’est la conséquence la plus crainte par les TPE / PME. Les ransomwares sont des prises d’otages des données ou des systèmes d’information, pour lesquelles les cybercriminels demandent une rançon aux organisations en échange du rendu de leurs données ou du retour à la normale de leur accès aux systèmes de production.

Selon BDM, le coût total des rançons en 2022 serait de 888 millions d’€.

 

Revente / diffusion de données

Les données sont le nerf de la guerre des entreprises modernes. Cette force est aussi leur faiblesse en cas de cyberattaque : la revente ou la diffusion de ces données (selon les objectifs du cybercriminel : financiers ou politiques notamment) peuvent se monnayer à prix d’or et/ou avoir de graves conséquences sur l’image et la confiance des clients et prospects de l’organisation victime.

 

Perte de productivité

L’arrêt forcé de la production et la hausse des coûts liés à cet arrêt de production représentent à eux deux un coût de 887 M d’euros en 2022, toujours selon BDM. Si on rajoute les pertes de production (heures de travail perdues, délais allongés et dysfonctionnement de service, on arrive alors à 1139 millions d’€ en France.

 

Perte de propriété intellectuelle

Si elles incluent les données persos et bancaires, les pertes de datas comprennent aussi la perte de propriété intellectuelle. Il peut s’agit d’espionnage industriel (infos concernant une innovation par exemple), mais aussi les datas liées au RGPD : les organisations s’engagent désormais à garantir la sécurité des infos stockées, et sont donc responsables de la violation de ces données. Le chiffrement de la perte de données RGPD peut très vite s’élever, et encore plus si la victime n’a pas déclaré cette perte à la CNIL dans les 72 heures.

 entreprise-fermée-à-cause-de-cyberattaque

Bilan des coûts financiers

Au final, les coûts totaux pour une entreprise liés à une cyberattaque peuvent se diviser en 2 parties : la face visible de l’iceberg, et la face cachée. (Ponemon Institute et Cybercover)

 

Partie visible des coûts financiers pour une petite entreprise 
  • Frais liés à la recherche de malware et à la restauration des SI
  • Frais liés aux RGPD : notification aux clients ET remise en conformité réglementaire
  • (re)Sécurisation des données suite à l’incident
  • Honoraires d’avocat et frais de justice
  • Relations publiques
  • Mise à niveau et amélioration des dispositifs cybersécurité

 

Partie cachée des coûts financiers pour une petite entreprise
  • Augmentation du coût de la dette
  • Impacts liés à la perturbation ou l’interruption des activités
  • Erosion du chiffre d’affaires liée à la perte de contrats client
  • Dépréciation de la valeur de marque
  • Perte de propriété intellectuelle
  • Perte de la confiance accordée par le client

 

Comment les TPE / PME peuvent se prévenir et réagir à une cyberattaque ?

Les démarches simples à adopter en tant qu’organisation peuvent se regrouper en l’acronyme SMM : Sensibilisation, Mises à jour, Mots de passe. Si ces 3 principes étaient respectés dans toutes les organisations, il y aurait déjà un frein important aux cyberattaques les moins poussées et au phishing.

 

Sensibilisation

Il s’agit de sensibiliser ses employés pour éviter au maximum les erreurs humaines qui permettant l’intrusion d’un malware sur ses SI : reconnaître le phishing, ne pas cliquer sur des liens suspects, ne télécharger que des applis provenant des applications intégrées d’application (apple store, Microsoft store, Google Play Store) : 99,99 des applications compromises dès le téléchargement sont acquises en dehors de ces applis.

💡Bon à savoir 💡

Des coaching anti-phishing peuvent-être déployés par votre entreprise pour vous prévenir de ce type d’attaques en sensibilisant vos employés sur un très large spectre de possibilités d’attaques : les phishing coach.

 

 

MAJ

Mettre régulièrement ses applications à jour permet d’éviter l’extrême majorité des cyberattaques sur sa machine, les développeurs diffusant des patchs de manière régulière pour réparer les failles avant même qu’elles ne soient exploitées (dans la plupart des cas).

 

Mots de passe

L’utilisation d’un mot de passe simple et unique favorise les chances de se le faire forcer (mais également de forcer l’accès à toutes les applications en ne trouvant qu’un seul login) : l’utilisation d’un gestionnaire de mots de passe générés automatiquement permet de se protéger de manière efficace.s

 

Une fois la base acquise, il existe de nombreux outils (du firewall aux EDR) qui permettent de faire face efficacement aux cyberattaques si vos SI sont suivis par un professionnel.

Nous vous guidons également pas à pas dans cet article pour savoir comment réagir si votre entreprise est touchée par une cyberattaque.

 

CTA-blog diag-cyber

 

Sur le même sujet 

Ne manquez aucune actualité en vous abonnant à la newsletter IPgarde                                                                      

Vous recevrez mensuellement un récap de nos infos pour parfaire votre veille informatique et télécom'  ➡️

3 clics et c'est parti pour la veille !