1	
  
Les petites & moyennes entreprises ne sont pas protégées
contre la cybercriminalité.
Et après?
Contribution de Dia...
  2	
  
d’organisations mais ne nous renseignent qu’ici ou là spécifiquement sur les
PME ; si tant est, en outre, que le c...
  3	
  
2° Un vide préoccupant. Nécessité d’atteindre pour convaincre.
Comment expliquer le peu d’enquêtes dédiées aux PME...
  4	
  
temps, de performance et de qualité d’exécution. L’utilisateur a donc toujours été
dispensé de comprendre et de co...
  5	
  
quoi. Alors qu’il leur est reproché de ne pas appliquer des règles de cybersécurité,
rimant pour elles avec nouvel...
  6	
  
de faire le tri, alors même qu’aucune règle ne l’y contraint ? Peut-on vraiment
demander à une PME tout aussi crit...
  7	
  
rémunération des innovateurs et des inventeurs" (Jim Lewis, membre du CSIS)
C) Démontrer, expliquer, sensibiliser
...
  8	
  
d’industrie et autres influenceurs nationaux et locaux, sans oublier le fait
d’encourager l’émergence d’acteurs dé...
Prochain SlideShare
Chargement dans…5
×

Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercriminalité. Et après ?

1 437 vues

Publié le

Si les grandes entreprises ont entrepris de se protéger, les PME sont loin de ces problématiques. Comment les atteindre et les convaincre du risque ? Quelles solutions leur apporter?

Article publié dans La Tribune le 10 février 2015

Publié dans : Internet
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 437
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Article (Version intégrale) - Les PME ne sont pas protégées contre la cybercriminalité. Et après ?

  1. 1.   1   Les petites & moyennes entreprises ne sont pas protégées contre la cybercriminalité. Et après? Contribution de Diane Rambaldini - Crossing Skills (Octobre 2014 - Janvier 2015) En matière de criminologie, la victimologie plaide pour une meilleure prise en compte de la victime et de sa défense. Cette discipline a pourtant longtemps fait débat quand elle s’est attachée à constituer et décrire des profils-types de victimes. Jugée contraire à sa philosophie originelle car faisant peser malgré elle le poids de la survenance de l’acte criminel sur la victime et non sur l’auteur des faits, cette pratique finit par tomber en désuétude dans les années 80. A l’heure des cybermenaces protéiformes, d’enjeux économiques forts, il est pourtant bien tentant de se poser la question d’un profil type de victime face à l’acte cybercriminel. Ne serait-ce que pour savoir comment agir… Le cybercriminel choisit-il ses victimes en fonction de critères ? Et si oui, lesquels ? 1° Pas de données concernant les PME françaises Sans trop nous avancer, il est facile de démontrer que derrière chaque mobile, se profilent des cibles particulières. Néanmoins, les victimes les plus flagrantes et immédiates sont déterminées beaucoup plus par le fait qu’elles ne sont pas protégées que par un tout autre motif, comme le veut la théorie du maillon faible. Parmi elles, se trouvent des petites et moyennes entreprises. Un constat prouvé par les chiffres ? Plutôt par l’absence de chiffres. Au-delà des statistiques connues en matière de cybercriminalité et de son impact sur le tissu économique mondial, c’est plutôt l’absence de données concernant la protection particulière des PME face au risque cyber qui intrigue. De nombreuses enquêtes et études existent, à l’instar de celles de McAfee, de l’ Internet Security Threat Report de Symantec, de la Global Economic Crime Survey de PWC, du Center for Strategic and International Studies (CSIS) Report, ou encore du Panorama de la cybercriminalité réalisé annuellement par le Club Français de la Sécurité Informatique (CLUSIF). La plupart sont menées à l’échelle internationale et sur un large panel
  2. 2.   2   d’organisations mais ne nous renseignent qu’ici ou là spécifiquement sur les PME ; si tant est, en outre, que le critère de qualification de petite ou moyenne entreprise corresponde bien à nos critères nationaux, comme celui de l’effectif par exemple. Ces mentions spécifiques aux PME demeurent donc rares et pour cause. Insuffisantes sont les PME à être parties prenantes à ces études pour disposer d’une granularité suffisante d’analyse. Par exemple, le dernier rapport de Symantec paru en Avril 2014 nous apprend que les PME étaient en effet la cible de 31 % des attaques informatiques en 2012, contre 18 % en 2011, en soulignant que très peu de chiffres sont disponibles uniquement pour la France. Au regard des données entrantes collectées, il précise que « la France connaît une recrudescence des attaques ciblées, et se classe ainsi au huitième rang mondial. Ce qui la distingue est que sont visées en très grande majorité (77,46 %) les PME avec, comme secteurs de prédilection, les administrations, l’industrie et le secteur de la banque-finance-immobilier en premiers lieux. » De son côté, si le CSIS évalue le coût de la cybercriminalité à environ 327 milliards d'euros par an pour l'économie mondiale en termes de croissance, d'innovation et de compétitivité, il ne précise pas les répercussions du cybercrime sur les grands foyers d’innovation que sont les start-up et les PME en général. Quant au rapport de PWC dédié à la fraude aux entreprises, réalisé dans 95 pays et auprès de 5128 entreprises, il révèle en 2014 que la fraude issue de cybercriminalité (vol de données et de coordonnées bancaires pour l’essentiel) est désormais sur la deuxième marche du podium (28%) après « le détournement de fonds » (49%) sachant que la triste et célèbre « fraude au président », sorte d’exception culturelle à la française, mixte d’ingénierie sociale et de piratage ou de ruse informatique représente 10% des cas de fraude dans l’hexagone. Là encore, PWC rappelle que ces fraudes touchent indistinctement tout type d’entreprise, quelque soit leur secteur et leur taille, sans donner de chiffres dédiés aux PME. Un dernier exemple, national, est celui du CLUSIF pour qui 80% des entreprises françaises qui subissent une cyberattaque grave ferment dans les deux ans alors que 50% d'entre elles font appel à un prestataire informatique après un sinistre pour mettre en place un plan de reprise d'activité. Le CLUSIF alimente ses études surtout auprès d’entreprises de taille intermédiaire et de grandes entreprises. Cela ne peut que nous laisser imaginer les impacts sur les entreprises plus petites et ayant une surface financière réduite.
  3. 3.   3   2° Un vide préoccupant. Nécessité d’atteindre pour convaincre. Comment expliquer le peu d’enquêtes dédiées aux PME, ou alors que les PME soient si peu nombreuses à répondre aux enquêtes généralistes existantes? Pourquoi ne dispose t-on pas à d’indicateurs propres comme par exemple la part d’investissement que les PME concèdent à des solutions de sécurité ? Est-ce parce que le marché ne s’intéresse pas à elles ou que les sondeurs ne voient pas l’intérêt de s’adresser à cette cible ? Ou, est-ce tout simplement parce qu’elles ne se sentent pas assez concernées pour prendre le temps de répondre aux enquêtes ? Les PME, dont l’effectif est de moins de 250 salariés, sont radicalement tournées vers leur cœur de métier et disposent rarement d’un responsable de la sécurité ou de la stratégie et encore moins de documents de référence comme une politique de sécurité. C’est une entreprise dépendante de son image de marque. Elle va donc éviter de communiquer sur les attaques dont elle pourrait faire l’objet et pire, ne pas porter plainte, si tant est d’ailleurs qu’elle ait été en capacité de détecter et de qualifier ces incidents comme des atteintes malveillantes. Une méconnaissance de l’écosystème ? Sans même parler des attaques de masse, les dirigeants de PME, peut-être par méconnaissance de leur écosystème international, ont tendance à se positionner dans l’échiquier compétitif d’après leur poids économique et leur volume d’affaires et non d’après le pouvoir attractif de leur savoir-faire, de leur connaissance du marché, de leurs clients ou encore de leur expérience accumulée. Ils ne réalisent pas en quoi ils suscitent de l’intérêt alors même que leur rayonnement est faible, que leur entreprise est peu connue, voire peu digitalisée. Une autre part de dirigeants, plus consciente de la valorisation de son patrimoine immatériel est davantage focalisée sur la propriété intellectuelle mais sous un angle juridique (dépôt de brevets, antériorité des innovations, etc..). Ces dirigeants sous-estiment l’angle technique et la façon dont Internet pourtant omniprésent dans leur quotidien est un moyen de porter atteinte à ces mêmes biens (destruction, modifications d’éléments, publicité, espionnage à but concurrentiel …). Une non culture informatique A leur décharge, il faut dire que rien ne prédestinait ces entreprises à se soucier de leur informatique. Longtemps un luxe pour quelques entreprises, l’informatique s’est démocratisée et a, en quelques années, innervé le monde de l’entreprise mais aussi les foyers et donc l’individu. Les fournisseurs de matériels informatiques, d’accès Internet, éditeurs de logiciels et autres fabricants n’ont eu de cesse de travailler l’ergonomie des interfaces, la facilité d’utilisation, la transposition de la commande informatique à celle d’un ordre humain, pour gagner toujours plus de
  4. 4.   4   temps, de performance et de qualité d’exécution. L’utilisateur a donc toujours été dispensé de comprendre et de connaître les entrailles de cette informatique, aboutissant à une non-culture informatique profonde de notre société. L’histoire se répète pour la sécurité informatique. A t-on accompagné le changement d’environnement informatique, l’ouverture quasi incontrôlable d’Internet et ses dangers ? A t-on mis en garde assez tôt les utilisateurs et les bons pères de famille ? A t-on réalisé à temps qu’on vendait au grand public un opium numérique en libre service dont il ne connaît ni les ingrédients et encore moins leur provenance, ni les filières, ni les fabricants ni les consommateurs et encore moins les effets secondaires ? C’est le sens de l’Histoire et il serait bien inutile de chercher des coupables si tant est d’ailleurs qu’il y ait eu faute… Néanmoins, ce n’est ni une campagne de reproches systématiques ni un martèlement méprisant et jargonneux à l’encontre des utilisateurs qui améliora la sécurité de tous. Pour nombre d’utilisateurs, ces technologies bien utiles restent des outils de « confiance » dont ils ne perçoivent pas ou peu les dangers. L’Homme du cyberespace n’a pas encore tout à fait développé d’instinct de survie. Dans ces conditions, car de l’utilisateur au collaborateur il n’y a qu’un pas, il est évidemment difficile de demander leur avis sur la cybersécurité aux TPE/ PME avant de les avoir convaincues qu’elles en sont des parties prenantes. C’est bien ce qui explique qu’il n’existe, comme l’énonce d’ailleurs l’analyse très intéressante et en transparence faite après la tentative d’une étude réalisée dans le cadre du projet européen 2CENTRE et intitulée « Cyber-sécurité et PME : perception du risque, pratiques, besoins » « aucune étude statistique crédible sur la perception du risque cyber par les PME. » Cette étude devait être menée sur la base des résultats d’un questionnaire en ligne relayé par les bons canaux de communication. Mais sur un total de 230 connexions, ce qui est déjà faible, seules 83 entreprises ont rendu un questionnaire complet. C’est bien loin du millier nécessaire et attendu, pour en tirer des statistiques pertinentes. 3° Pistes pour atteindre et impliquer les PME. Les PME sont donc des victimes et c’est bien aujourd’hui leur seul statut. Un statut vide de sens. Comment atteindre ces entreprises et leur faire comprendre qu’elles sont à la fois des cibles de masse mais aussi de choix ? Et quelles solutions concrètes apporter pour amorcer un processus de responsabilisation ? A)Travailler la cohérence de l’argumentaire « transformation numérique » Se mettre aujourd’hui à la place d’une PME révèle bien des choses, et notamment l’enjeu politique schizophrène dont elles font l’objet, cibles de tout et de n’importe
  5. 5.   5   quoi. Alors qu’il leur est reproché de ne pas appliquer des règles de cybersécurité, rimant pour elles avec nouvelles contraintes et nouveaux postes budgétaires, elles sont fortement sollicitées par diverses offres et initiatives politiques pour amorcer leur virage numérique, alors même que 50% d’entre elles rejettent l’idée de se digitaliser. Beaucoup d’entre elles ne souhaitent pas investir dans le numérique (cloud, dématérialisation, politique de communication sur les réseaux sociaux, etc…). Ce n’est donc pas pour investir dans la sécurité de ces outils numériques. Cela n’a rien de très rationnel car certaines d’entre elles disposent d’un site internet, d’ordinateurs et de logiciels pour fonctionner mais cela donne le ton. La croyance d’une amélioration de leur compétitivité via la performance numérique, si tant est qu’elle soit démontrable, ne sera de toutes façons possible qu’en situation de pleine confiance et si les influenceurs du numérique travaillent main dans la main avec le secteur de la cybersécurité. Vendre du numérique sans maîtrise intégrée du risque ne fera que systématiquement reculer l’obstacle de la digitalisation de notre tissu économique. Concrètement, s’il ne fait aucun doute que le numérique, représenté par Axelle Lemaire, Secrétaire d’Etat dédiée, et la cyberdéfense (plus que la cybersécurité) représentée par les ministères de la Défense, de l’Intérieur et de l’ANSSI ont des places de choix dans la stratégie gouvernementale, il est encore trop rare de trouver les deux sujets mêlés en un même discours. L’ensemble des réflexions autour du numérique ne doit pas se départir de la question des risques qui lui est inhérente et l’économie aurait tout à gagner si des acteurs de la cybersécurité étaient invités à rejoindre des initiatives comme la French Tech, comme il serait tout à fait appréciable que la French Tech soit représentée dans des instances où l’on débat de cybersécurité. Placer la cybersécurité sous l’égide du ministère de l’économie ne serait-il d’ailleurs pas un signal fort ? Lorsqu’on fait état de l’enjeu national que représente la cybersécurité c’est bien aussi parce que toute attaque à l’encontre d’entreprises met en péril leur survie, donc des emplois et donc la croissance. Criminaliser la cybercriminalité est un axe certes important de la politique nationale, d’ailleurs semée d’embûches (extra-territorialité, absence de coopération internationale, vitesse de la menace…) mais elle ne doit pas passer outre la conception et la mise en œuvre d’une vraie politique de protection des entreprises. Car au final, sauver l’économie et remporter des parts de marché est bien ce qui importe. B)Innover plutôt qu’adapter ! La cybersécurité telle qu’elle est pensée, dictée, marquetée, normée et vendue, est-elle vraiment adaptée aux TPE / PME ? Quant il est revendiqué qu’une quinzaine des quarante règles d’hygiène de l’ANSSI est applicable aux PME, est-ce au dirigeant de la PME qui n’y connaît rien
  6. 6.   6   de faire le tri, alors même qu’aucune règle ne l’y contraint ? Peut-on vraiment demander à une PME tout aussi critique soit elle, d’appliquer coûte que coûte les mêmes bonnes pratiques dictées aux opérateurs d’importance vitale, sans même avoir relevé avec soin son niveau actuel et cible de sécurité, sans connaître son état de la menace ? Endosser l’habit d’un chef d’entreprise d’une PME, c’est prendre des risques au quotidien, naviguer dans les eaux troubles de l’économie et de ces cycles et c’est aussi crouler sous le poids normatif et réglementaire (sécurité au travail, développement durable, qualité et que sais-je encore.) La cybersécurité aujourd’hui ne travaille aujourd’hui qu’avec les clients historiques, les grands industriels, le monde militaire et les grandes entreprises voire grandes ETI. De très rares PME aux activités très sensibles sont concernées. C’est un leurre de croire que la cybersécurité n’a besoin que d’être « adaptée » au marché des PME avec des prestataires actuels qui ne connaissent pour la plupart les codes que des grands groupes, et avec les prestations et modèles économiques qu’on connaît aujourd’hui. Non, le challenge de la PME est complexe et reste à inventer. Cela passe par davantage de pragmatisme. Il y a fort à parier qu’une PME peut difficilement se budgéter une prestation d’audit puis un consultant à demeure pour appliquer les recommandations, auxquelles il faut ajouter l’achat de produits de sécurité dédiés, alors même que la situation de cette PME ne présenterait pas de défis singuliers. A côté d’outils technologiques standardisés moins sur-mesure qu’il conviendrait de développer et de marqueter pour les PME, de modèles économiques à repenser, c’est la réflexion autour d’offres intégrées qui devra être également menée notamment par les cabinets de conseil, qui dans un contexte économique tendu, doivent se réinventer. Le conseil est très opaque en comparaison d’entreprises proposant des produits bien concrets et tentants, alors même qu’on sait très bien que l’achat de technologies sans dimensionnement des besoins au préalable, sans analyse de risque à minima est un investissement souvent vain. Et pourtant c’est bien ce qui risque de se passer si les PME s’y voient contraintes légalement un jour. Il est difficile pour un client de juger la performance d’un conseil à l’avance, comme il est même parfois difficile d’apprécier la valeur du conseil une fois le projet achevé tant les facteurs externes comme la qualité de l’exécution, son rapport au temps et sa résistance sont difficilement appréciables. C’est bien pourquoi on se demande si certaines ségrégations comme celles de « Produits/Services » « Solutions/Conseils » peuvent perdurer, et si au contraire elles ne doivent pas être vendues de concert. Quand on sait que innovation va de pair avec compétitivité et donc croissance, à tous ceux qui pensent que le marché de la cybersécurité dédié à la PME ne vaut pas la peine, méditons ceci : "la cyber-criminalité est un impôt sur l'innovation; elle ralentit le rythme de l'innovation dans le monde en réduisant la
  7. 7.   7   rémunération des innovateurs et des inventeurs" (Jim Lewis, membre du CSIS) C) Démontrer, expliquer, sensibiliser Quand les PME jouiront d’une représentativité dédiée, d’offres strictement dimensionnées et réservées à leur niveau de maturité, et quand le tout sera extrait d’un milieu très militaro-industriel, un bout de chemin aura été fait, mais toute avancée ne s’exonèrera jamais de sensibilisation. La sécurité est anxiogène et n’attire pas les foules. Et susciter la peur est à n’en pas douter la démarche la moins crédible pour convaincre une PME de s’investir du problème. N’importe quel dirigeant de PME pourrait citer mille scénarii de dangers immédiats bien plus terre à terre que celui d’une cyberattaque qui pourraient le contraindre à mettre la clé sous la porte. Un procès perdu au Prud’hommes par exemple. Convaincre que les cyberattaques sont des dangers réels, quotidiens et pouvant mettre en péril la survie de l’entreprise exige de le démontrer. Les pressions réglementaires, fiscales et économiques ne laissent pas de place aux investissements hypothétiques. Seules des démonstrations réelles, chiffrées, concrètes et démontrant ce qu’on peut gagner grâce à la protection de ces systèmes d’information et de communication capteront l’attention des exécutifs de PME. Si les PME ne viennent pas d’elles-mêmes s’informer, il faut aller vers elles. Les Chambres de commerce et d’industrie, les pôles de compétitivité, les syndicats professionnels comme le CGPME, le MEDEF, le SYNTEC, mais également les clubs de dirigeants locaux, associatifs ou politiques sont autant de terrains à occuper pour aller au devant de ces acteurs aux agendas bien remplis. Le réseau de la réserve citoyenne cyberdéfense, dont la couverture est tant nationale que régionale, est une aubaine pour créer du lien avec les PME. Les réservistes à travers leurs missions de sensibilisation peuvent subvenir à des besoins, comme l’apport d’éléments de langage, des supports de sensibilisation et tout simplement répondre à des questions. C’est d’ailleurs la stratégie adoptée en matière l’intelligence économique. C’est grâce à un maillage territorial fort, l’implication des régions et la nomination de référents IE dans la Gendarmerie notamment pour toucher les PME que cela a commencé à porter ses fruits au bout de quelques années. A l’instar des conditions exigées par les assurances qui ont eu pour effet d’ « armer » de possibles victimes et de décourager de potentiels agresseurs, la responsabilité de la communauté cybersécurité n’est pas de stigmatiser les PME de victimes mais bien d’en amorcer le processus de responsabilisation. Au-delà de l’affirmation du besoin de sensibilisation, pour lequel il y a consensus, il s’agit aussi de créer un « écosystème de la cybersécurité » dédié aux PME. La consécration de sponsors officiels à l’image d’un « Monsieur / d’une Madame Cybersécurité des PME » dépendant du Ministère de l’économie, la mise dans la boucle de syndicats professionnels, de fédérations, chambres de commerce et
  8. 8.   8   d’industrie et autres influenceurs nationaux et locaux, sans oublier le fait d’encourager l’émergence d’acteurs dédiés et innovants de la cybersécurité dont les modèles économiques sont radicalement tournée vers les TPE/PME sont autant de champs à explorer. Ce n’est qu’à ces conditions que l’on pourra responsabiliser les PME et avoir une chance de façonner un jour « des PME responsables » avec tout ce que cela implique. Pas avant.

×