Si les grandes entreprises ont entrepris de se protéger, les PME sont loin de ces problématiques. Comment les atteindre et les convaincre du risque ? Quelles solutions leur apporter?
Article publié dans La Tribune le 10 février 2015
Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercriminalité. Et après ?
1. 1
Les petites & moyennes entreprises ne sont pas protégées
contre la cybercriminalité.
Et après?
Contribution de Diane Rambaldini - Crossing Skills
(Octobre 2014 - Janvier 2015)
En matière de criminologie, la victimologie plaide pour une meilleure prise
en compte de la victime et de sa défense. Cette discipline a pourtant longtemps
fait débat quand elle s’est attachée à constituer et décrire des profils-types de
victimes. Jugée contraire à sa philosophie originelle car faisant peser malgré elle
le poids de la survenance de l’acte criminel sur la victime et non sur l’auteur des
faits, cette pratique finit par tomber en désuétude dans les années 80.
A l’heure des cybermenaces protéiformes, d’enjeux économiques forts, il est
pourtant bien tentant de se poser la question d’un profil type de victime face à
l’acte cybercriminel. Ne serait-ce que pour savoir comment agir…
Le cybercriminel choisit-il ses victimes en fonction de critères ? Et si oui,
lesquels ?
1° Pas de données concernant les PME françaises
Sans trop nous avancer, il est facile de démontrer que derrière chaque mobile, se
profilent des cibles particulières. Néanmoins, les victimes les plus flagrantes et
immédiates sont déterminées beaucoup plus par le fait qu’elles ne sont pas
protégées que par un tout autre motif, comme le veut la théorie du maillon faible.
Parmi elles, se trouvent des petites et moyennes entreprises.
Un constat prouvé par les chiffres ? Plutôt par l’absence de chiffres. Au-delà des
statistiques connues en matière de cybercriminalité et de son impact sur le tissu
économique mondial, c’est plutôt l’absence de données concernant la protection
particulière des PME face au risque cyber qui intrigue.
De nombreuses enquêtes et études existent, à l’instar de celles de McAfee, de l’
Internet Security Threat Report de Symantec, de la Global Economic Crime
Survey de PWC, du Center for Strategic and International Studies (CSIS) Report,
ou encore du Panorama de la cybercriminalité réalisé annuellement par le Club
Français de la Sécurité Informatique (CLUSIF).
La plupart sont menées à l’échelle internationale et sur un large panel
2. 2
d’organisations mais ne nous renseignent qu’ici ou là spécifiquement sur les
PME ; si tant est, en outre, que le critère de qualification de petite ou moyenne
entreprise corresponde bien à nos critères nationaux, comme celui de l’effectif
par exemple.
Ces mentions spécifiques aux PME demeurent donc rares et pour cause.
Insuffisantes sont les PME à être parties prenantes à ces études pour disposer
d’une granularité suffisante d’analyse.
Par exemple, le dernier rapport de Symantec paru en Avril 2014 nous apprend
que les PME étaient en effet la cible de 31 % des attaques informatiques en 2012,
contre 18 % en 2011, en soulignant que très peu de chiffres sont disponibles
uniquement pour la France. Au regard des données entrantes collectées, il précise
que « la France connaît une recrudescence des attaques ciblées, et se classe ainsi
au huitième rang mondial. Ce qui la distingue est que sont visées en très grande
majorité (77,46 %) les PME avec, comme secteurs de prédilection, les
administrations, l’industrie et le secteur de la banque-finance-immobilier en
premiers lieux. »
De son côté, si le CSIS évalue le coût de la cybercriminalité à environ 327
milliards d'euros par an pour l'économie mondiale en termes de croissance,
d'innovation et de compétitivité, il ne précise pas les répercussions du cybercrime
sur les grands foyers d’innovation que sont les start-up et les PME en général.
Quant au rapport de PWC dédié à la fraude aux entreprises, réalisé dans 95 pays
et auprès de 5128 entreprises, il révèle en 2014 que la fraude issue de
cybercriminalité (vol de données et de coordonnées bancaires pour l’essentiel)
est désormais sur la deuxième marche du podium (28%) après « le détournement
de fonds » (49%) sachant que la triste et célèbre « fraude au président », sorte
d’exception culturelle à la française, mixte d’ingénierie sociale et de piratage ou
de ruse informatique représente 10% des cas de fraude dans l’hexagone. Là
encore, PWC rappelle que ces fraudes touchent indistinctement tout type
d’entreprise, quelque soit leur secteur et leur taille, sans donner de chiffres dédiés
aux PME.
Un dernier exemple, national, est celui du CLUSIF pour qui 80% des entreprises
françaises qui subissent une cyberattaque grave ferment dans les deux ans alors
que 50% d'entre elles font appel à un prestataire informatique après un sinistre
pour mettre en place un plan de reprise d'activité. Le CLUSIF alimente ses études
surtout auprès d’entreprises de taille intermédiaire et de grandes entreprises.
Cela ne peut que nous laisser imaginer les impacts sur les entreprises plus petites
et ayant une surface financière réduite.
3. 3
2° Un vide préoccupant. Nécessité d’atteindre pour convaincre.
Comment expliquer le peu d’enquêtes dédiées aux PME, ou alors que les PME
soient si peu nombreuses à répondre aux enquêtes généralistes existantes?
Pourquoi ne dispose t-on pas à d’indicateurs propres comme par exemple la part
d’investissement que les PME concèdent à des solutions de sécurité ?
Est-ce parce que le marché ne s’intéresse pas à elles ou que les sondeurs ne voient
pas l’intérêt de s’adresser à cette cible ? Ou, est-ce tout simplement parce qu’elles
ne se sentent pas assez concernées pour prendre le temps de répondre aux
enquêtes ?
Les PME, dont l’effectif est de moins de 250 salariés, sont radicalement tournées
vers leur cœur de métier et disposent rarement d’un responsable de la sécurité ou
de la stratégie et encore moins de documents de référence comme une politique
de sécurité. C’est une entreprise dépendante de son image de marque. Elle va
donc éviter de communiquer sur les attaques dont elle pourrait faire l’objet et
pire, ne pas porter plainte, si tant est d’ailleurs qu’elle ait été en capacité de
détecter et de qualifier ces incidents comme des atteintes malveillantes.
Une méconnaissance de l’écosystème ?
Sans même parler des attaques de masse, les dirigeants de PME, peut-être par
méconnaissance de leur écosystème international, ont tendance à se positionner
dans l’échiquier compétitif d’après leur poids économique et leur volume
d’affaires et non d’après le pouvoir attractif de leur savoir-faire, de leur
connaissance du marché, de leurs clients ou encore de leur expérience
accumulée. Ils ne réalisent pas en quoi ils suscitent de l’intérêt alors même que
leur rayonnement est faible, que leur entreprise est peu connue, voire peu
digitalisée. Une autre part de dirigeants, plus consciente de la valorisation de son
patrimoine immatériel est davantage focalisée sur la propriété intellectuelle mais
sous un angle juridique (dépôt de brevets, antériorité des innovations, etc..). Ces
dirigeants sous-estiment l’angle technique et la façon dont Internet pourtant
omniprésent dans leur quotidien est un moyen de porter atteinte à ces mêmes
biens (destruction, modifications d’éléments, publicité, espionnage à but
concurrentiel …).
Une non culture informatique
A leur décharge, il faut dire que rien ne prédestinait ces entreprises à se soucier
de leur informatique.
Longtemps un luxe pour quelques entreprises, l’informatique s’est démocratisée
et a, en quelques années, innervé le monde de l’entreprise mais aussi les foyers et
donc l’individu. Les fournisseurs de matériels informatiques, d’accès Internet,
éditeurs de logiciels et autres fabricants n’ont eu de cesse de travailler
l’ergonomie des interfaces, la facilité d’utilisation, la transposition de la
commande informatique à celle d’un ordre humain, pour gagner toujours plus de
4. 4
temps, de performance et de qualité d’exécution. L’utilisateur a donc toujours été
dispensé de comprendre et de connaître les entrailles de cette informatique,
aboutissant à une non-culture informatique profonde de notre société. L’histoire
se répète pour la sécurité informatique.
A t-on accompagné le changement d’environnement informatique, l’ouverture
quasi incontrôlable d’Internet et ses dangers ? A t-on mis en garde assez tôt les
utilisateurs et les bons pères de famille ? A t-on réalisé à temps qu’on vendait au
grand public un opium numérique en libre service dont il ne connaît ni les
ingrédients et encore moins leur provenance, ni les filières, ni les fabricants ni les
consommateurs et encore moins les effets secondaires ?
C’est le sens de l’Histoire et il serait bien inutile de chercher des coupables si tant
est d’ailleurs qu’il y ait eu faute… Néanmoins, ce n’est ni une campagne de
reproches systématiques ni un martèlement méprisant et jargonneux à
l’encontre des utilisateurs qui améliora la sécurité de tous. Pour nombre
d’utilisateurs, ces technologies bien utiles restent des outils de « confiance » dont
ils ne perçoivent pas ou peu les dangers. L’Homme du cyberespace n’a pas encore
tout à fait développé d’instinct de survie.
Dans ces conditions, car de l’utilisateur au collaborateur il n’y a qu’un pas, il est
évidemment difficile de demander leur avis sur la cybersécurité aux TPE/ PME
avant de les avoir convaincues qu’elles en sont des parties prenantes. C’est bien
ce qui explique qu’il n’existe, comme l’énonce d’ailleurs l’analyse très
intéressante et en transparence faite après la tentative d’une étude réalisée dans
le cadre du projet européen 2CENTRE et intitulée « Cyber-sécurité et PME :
perception du risque, pratiques, besoins » « aucune étude statistique crédible sur
la perception du risque cyber par les PME. » Cette étude devait être menée sur
la base des résultats d’un questionnaire en ligne relayé par les bons canaux de
communication. Mais sur un total de 230 connexions, ce qui est déjà faible, seules
83 entreprises ont rendu un questionnaire complet. C’est bien loin du millier
nécessaire et attendu, pour en tirer des statistiques pertinentes.
3° Pistes pour atteindre et impliquer les PME.
Les PME sont donc des victimes et c’est bien aujourd’hui leur seul statut. Un
statut vide de sens.
Comment atteindre ces entreprises et leur faire comprendre qu’elles sont à la fois
des cibles de masse mais aussi de choix ? Et quelles solutions concrètes apporter
pour amorcer un processus de responsabilisation ?
A)Travailler la cohérence de l’argumentaire « transformation
numérique »
Se mettre aujourd’hui à la place d’une PME révèle bien des choses, et notamment
l’enjeu politique schizophrène dont elles font l’objet, cibles de tout et de n’importe
5. 5
quoi. Alors qu’il leur est reproché de ne pas appliquer des règles de cybersécurité,
rimant pour elles avec nouvelles contraintes et nouveaux postes budgétaires,
elles sont fortement sollicitées par diverses offres et initiatives politiques pour
amorcer leur virage numérique, alors même que 50% d’entre elles rejettent l’idée
de se digitaliser. Beaucoup d’entre elles ne souhaitent pas investir dans le
numérique (cloud, dématérialisation, politique de communication sur les réseaux
sociaux, etc…). Ce n’est donc pas pour investir dans la sécurité de ces outils
numériques. Cela n’a rien de très rationnel car certaines d’entre elles disposent
d’un site internet, d’ordinateurs et de logiciels pour fonctionner mais cela donne
le ton.
La croyance d’une amélioration de leur compétitivité via la performance
numérique, si tant est qu’elle soit démontrable, ne sera de toutes façons possible
qu’en situation de pleine confiance et si les influenceurs du numérique travaillent
main dans la main avec le secteur de la cybersécurité. Vendre du numérique
sans maîtrise intégrée du risque ne fera que systématiquement reculer
l’obstacle de la digitalisation de notre tissu économique.
Concrètement, s’il ne fait aucun doute que le numérique, représenté par Axelle
Lemaire, Secrétaire d’Etat dédiée, et la cyberdéfense (plus que la cybersécurité)
représentée par les ministères de la Défense, de l’Intérieur et de l’ANSSI ont des
places de choix dans la stratégie gouvernementale, il est encore trop rare de
trouver les deux sujets mêlés en un même discours. L’ensemble des réflexions
autour du numérique ne doit pas se départir de la question des risques qui lui
est inhérente et l’économie aurait tout à gagner si des acteurs de la cybersécurité
étaient invités à rejoindre des initiatives comme la French Tech, comme il serait
tout à fait appréciable que la French Tech soit représentée dans des instances où
l’on débat de cybersécurité.
Placer la cybersécurité sous l’égide du ministère de l’économie ne serait-il
d’ailleurs pas un signal fort ? Lorsqu’on fait état de l’enjeu national que
représente la cybersécurité c’est bien aussi parce que toute attaque à l’encontre
d’entreprises met en péril leur survie, donc des emplois et donc la croissance.
Criminaliser la cybercriminalité est un axe certes important de la politique
nationale, d’ailleurs semée d’embûches (extra-territorialité, absence de
coopération internationale, vitesse de la menace…) mais elle ne doit pas passer
outre la conception et la mise en œuvre d’une vraie politique de protection des
entreprises. Car au final, sauver l’économie et remporter des parts de marché est
bien ce qui importe.
B)Innover plutôt qu’adapter !
La cybersécurité telle qu’elle est pensée, dictée, marquetée, normée et vendue,
est-elle vraiment adaptée aux TPE / PME ?
Quant il est revendiqué qu’une quinzaine des quarante règles d’hygiène de
l’ANSSI est applicable aux PME, est-ce au dirigeant de la PME qui n’y connaît rien
6. 6
de faire le tri, alors même qu’aucune règle ne l’y contraint ? Peut-on vraiment
demander à une PME tout aussi critique soit elle, d’appliquer coûte que coûte les
mêmes bonnes pratiques dictées aux opérateurs d’importance vitale, sans même
avoir relevé avec soin son niveau actuel et cible de sécurité, sans connaître son
état de la menace ?
Endosser l’habit d’un chef d’entreprise d’une PME, c’est prendre des risques au
quotidien, naviguer dans les eaux troubles de l’économie et de ces cycles et c’est
aussi crouler sous le poids normatif et réglementaire (sécurité au travail,
développement durable, qualité et que sais-je encore.)
La cybersécurité aujourd’hui ne travaille aujourd’hui qu’avec les clients
historiques, les grands industriels, le monde militaire et les grandes entreprises
voire grandes ETI. De très rares PME aux activités très sensibles sont
concernées. C’est un leurre de croire que la cybersécurité n’a besoin que d’être
« adaptée » au marché des PME avec des prestataires actuels qui ne
connaissent pour la plupart les codes que des grands groupes, et avec les
prestations et modèles économiques qu’on connaît aujourd’hui.
Non, le challenge de la PME est complexe et reste à inventer.
Cela passe par davantage de pragmatisme. Il y a fort à parier qu’une PME peut
difficilement se budgéter une prestation d’audit puis un consultant à demeure
pour appliquer les recommandations, auxquelles il faut ajouter l’achat de
produits de sécurité dédiés, alors même que la situation de cette PME ne
présenterait pas de défis singuliers. A côté d’outils technologiques standardisés
moins sur-mesure qu’il conviendrait de développer et de marqueter pour les PME,
de modèles économiques à repenser, c’est la réflexion autour d’offres intégrées
qui devra être également menée notamment par les cabinets de conseil, qui dans
un contexte économique tendu, doivent se réinventer. Le conseil est très opaque
en comparaison d’entreprises proposant des produits bien concrets et tentants,
alors même qu’on sait très bien que l’achat de technologies sans
dimensionnement des besoins au préalable, sans analyse de risque à minima est
un investissement souvent vain. Et pourtant c’est bien ce qui risque de se passer
si les PME s’y voient contraintes légalement un jour.
Il est difficile pour un client de juger la performance d’un conseil à l’avance,
comme il est même parfois difficile d’apprécier la valeur du conseil une fois le
projet achevé tant les facteurs externes comme la qualité de l’exécution, son
rapport au temps et sa résistance sont difficilement appréciables. C’est bien
pourquoi on se demande si certaines ségrégations comme celles de
« Produits/Services » « Solutions/Conseils » peuvent perdurer, et si au contraire
elles ne doivent pas être vendues de concert.
Quand on sait que innovation va de pair avec compétitivité et donc croissance, à
tous ceux qui pensent que le marché de la cybersécurité dédié à la PME ne vaut
pas la peine, méditons ceci : "la cyber-criminalité est un impôt sur l'innovation;
elle ralentit le rythme de l'innovation dans le monde en réduisant la
7. 7
rémunération des innovateurs et des inventeurs" (Jim Lewis, membre du CSIS)
C) Démontrer, expliquer, sensibiliser
Quand les PME jouiront d’une représentativité dédiée, d’offres strictement
dimensionnées et réservées à leur niveau de maturité, et quand le tout sera
extrait d’un milieu très militaro-industriel, un bout de chemin aura été fait, mais
toute avancée ne s’exonèrera jamais de sensibilisation.
La sécurité est anxiogène et n’attire pas les foules. Et susciter la peur est à n’en
pas douter la démarche la moins crédible pour convaincre une PME de s’investir
du problème. N’importe quel dirigeant de PME pourrait citer mille scénarii de
dangers immédiats bien plus terre à terre que celui d’une cyberattaque qui
pourraient le contraindre à mettre la clé sous la porte. Un procès perdu au
Prud’hommes par exemple. Convaincre que les cyberattaques sont des dangers
réels, quotidiens et pouvant mettre en péril la survie de l’entreprise exige de le
démontrer. Les pressions réglementaires, fiscales et économiques ne laissent pas
de place aux investissements hypothétiques. Seules des démonstrations réelles,
chiffrées, concrètes et démontrant ce qu’on peut gagner grâce à la protection de
ces systèmes d’information et de communication capteront l’attention des
exécutifs de PME.
Si les PME ne viennent pas d’elles-mêmes s’informer, il faut aller vers elles. Les
Chambres de commerce et d’industrie, les pôles de compétitivité, les syndicats
professionnels comme le CGPME, le MEDEF, le SYNTEC, mais également les clubs
de dirigeants locaux, associatifs ou politiques sont autant de terrains à occuper
pour aller au devant de ces acteurs aux agendas bien remplis.
Le réseau de la réserve citoyenne cyberdéfense, dont la couverture est tant
nationale que régionale, est une aubaine pour créer du lien avec les PME. Les
réservistes à travers leurs missions de sensibilisation peuvent subvenir à des
besoins, comme l’apport d’éléments de langage, des supports de sensibilisation et
tout simplement répondre à des questions.
C’est d’ailleurs la stratégie adoptée en matière l’intelligence économique. C’est
grâce à un maillage territorial fort, l’implication des régions et la nomination de
référents IE dans la Gendarmerie notamment pour toucher les PME que cela a
commencé à porter ses fruits au bout de quelques années.
A l’instar des conditions exigées par les assurances qui ont eu pour effet
d’ « armer » de possibles victimes et de décourager de potentiels agresseurs, la
responsabilité de la communauté cybersécurité n’est pas de stigmatiser les PME
de victimes mais bien d’en amorcer le processus de responsabilisation. Au-delà de
l’affirmation du besoin de sensibilisation, pour lequel il y a consensus, il s’agit
aussi de créer un « écosystème de la cybersécurité » dédié aux PME. La
consécration de sponsors officiels à l’image d’un « Monsieur / d’une Madame
Cybersécurité des PME » dépendant du Ministère de l’économie, la mise dans la
boucle de syndicats professionnels, de fédérations, chambres de commerce et
8. 8
d’industrie et autres influenceurs nationaux et locaux, sans oublier le fait
d’encourager l’émergence d’acteurs dédiés et innovants de la cybersécurité dont
les modèles économiques sont radicalement tournée vers les TPE/PME sont
autant de champs à explorer. Ce n’est qu’à ces conditions que l’on pourra
responsabiliser les PME et avoir une chance de façonner un jour « des PME
responsables » avec tout ce que cela implique. Pas avant.