Pourquoi un tel phénomène ?
Nous avons évidemment tendance à parler des attaques ayant ciblé de grandes entreprises connues. Une entreprise au rayonnement national ou international est bien plus visible qu’une TPE locale.
Malheureusement, cela ne sert pas à la sensibilisation de toutes ces petites entreprises, qui font pourtant face à des attaques ciblées désormais quotidiennement. Ce que nous constatons en effet, c’est que les petites et moyennes entreprises ne se reconnaissent pas dans le profil de ces sociétés prises pour cibles, et qu’elles ne se sentent pas concernées par les mêmes problématiques.
Une entreprise de 15 personnes pense ne présenter aucun intérêt pour des cybercriminels contrairement à une entreprise de 4000 personnes.
C’est sans doute vrai, mais le problème n’est pas là, car il existe de très nombreux groupes de cybercriminels, et autant de variété de types d’attaques dont le but demeure néanmoins le même : faire du profit illégalement.
La petite entreprise ne sera pas ciblée de la même manière qu’une grande, la méthode de piratage utilisée sera différente, elle ne le sera peut-être pas nommément, mais elle pourra en revanche être ciblée par une attaque massive, de celles qui cherchent à infecter le plus grand nombre de machines. Elle subira de graves conséquences.
L’homme apprend par l’expérience, la sienne propre ou celle de ses pairs. Si de nombreux cas, et ils le sont, d’attaques touchant les petites entreprises étaient plus souvent mis en lumière, les sociétés de cette typologie se sentiraient-elles plus concernées ? On peut l’espérer, mais il est toujours difficile de faire témoigner une entreprise sur sa sécurité informatique.
Les TPE, moins convoitées ?
Autre point, les sociétés de sécurité, celles qui apportent la protection, s’intéressent-elles, de leur côté, à ces petites entreprises, ou en tout cas, suffisamment ?
Notoriété, chiffre d’affaires, développement, concurrence, toutes les entreprises doivent répondre à ces enjeux et compter de grands groupes parmi ses clients est un gage de réussite et de qualité. Si la vocation d’une société de sécurité est d’apporter une protection, elle devrait pouvoir s’adresser à tous les segments du marché, et adapter son discours à chaque problématique. Certaines entreprises de petite taille sont tenues, de par leur activité, de protéger des données très sensibles. De même une mairie, quelle que soit sa taille, doit garantir la protection des données de ses citoyens, surtout à l’heure du RGPD.
Ce que l’on déplore beaucoup, à savoir le manque de sécurité dans les TPE et PME, est peut-être aussi de la responsabilité des fournisseurs de protection informatique qui s’y intéressent moins ?
Désintérêt ou méfiance des TPE vis-à-vis des solutions de sécurité ?
Ce qui remonte des revendeurs, ceux qui sont sur ce terrain, régional, local des petites et moyennes entreprises, est que souvent, ils doivent insister auprès de ces sociétés pour installer des outils de sécurité, et même le premier d’entre eux, celui qui semble évident en 2019, l’antivirus.
Inconscience ou manque d’intérêt et de temps, de nombreux dirigeants de TPE ou PME ne se préoccupent pas de la sécurité, voire se méfient des éditeurs de solutions ! Il arrive ainsi encore d’entendre des rumeurs disant que ce sont les entreprises de sécurité qui créent les virus… Inquiétant, car si ce mythe est depuis bien longtemps dépassé, il est clair que l’ensemble des maillons de la chaîne qui consiste à sensibiliser, informer, équiper et suivre les petites et moyennes entreprises a peut-être failli quelque part.
Nous ne cessons de le répéter, éditeurs et chercheurs en sécurité, aussi bien que médias et pouvoirs publics, la menace induite par la cybercriminalité n’est pas une légende. Personne ne brandit de menace fictive pour inquiéter les utilisateurs et les entreprises ou pour vendre des produits. Le risque lié à la cybercriminalité est réel pour les petites entreprises. Et il peut avoir des conséquences graves, jusqu’à fermer une activité, même bien portante.
L’homme apprend par l’expérience. Faut-il attendre de se retrouver avec toutes ses données chiffrées pour réagir ? Faut-il prendre le risque de perdre le fruit de son propre travail ?
Libre à chacun et à chacune de répondre à cette question dans son for intérieur et d’interroger sa responsabilité face à ses clients, fournisseurs, partenaires et collaborateurs.
Pierre Curien est directeur France de Doctor Web. Ancien Directeur Général d’Afina, il a rejoint l’éditeur russe de solutions informatiques en 2008. Sa mission est d’assurer le développement commercial de l’antivirus en France, superviser le marketing ainsi que les questions techniques.
