Cybersécurité : les PME montrent un excès de confiance face aux menaces

Michael Sentonas, président de CrowdStrike partage son expertise et les bonnes pratiques sur le sujet.

Les cybercriminels sont en effet conscients de la vulnérabilité de leurs structures et de la valeur potentielle des données qu’elles détiennent. Il est par conséquent essentiel que les PME soient formées pour faire face aux menaces à venir et savoir s’en protéger.

PME : des cibles facilement exploitables

Les cas de violation concernant les PME ne font pas souvent la une de l’actualité, ce qui peut les conduire à penser qu’elles passent inaperçues aux yeux des attaquants. Toutefois, la réalité est différente.

Elles font souvent partie des cibles facilement exploitables pour les auteurs de menaces, comme l’indiquent les chiffres. Une étude menée en 2022 révèle que 76% des PME interrogées ont été victimes d’au moins une cyberattaque en 2021, contre 55% en 2020, ce qui démontre que les attaques se multiplient. De même, selon un autre rapport, 63% des PME participantes signalent une augmentation des menaces de cybersécurité sophistiquées, telles que les ransomwares et les attaques basées sur l’usurpation d’identité (d’après l’enquête CrowdStrike 2022 sur les PME). 

Les différentes menaces

Ces menaces se présentent sous différentes formes. Selon le rapport Verizon DBIR 2022, les intrusions dans les systèmes, l’ingénierie sociale et les abus de privilèges représentent 98% des violations touchant les petites entreprises.

Par ailleurs, la compromission des identifiants totalise 93% des données exposées lors des attaques ciblant les PME. Au fil du temps, de plus en plus d’organisations redoutent d’être la prochaine cible des cybercriminels : une enquête CNBC menée auprès de plus de 2 000 chefs d’entreprise a ainsi révélé que 61% des petites structures d’au moins 50 employés craignent d’être frappées par une cyberattaque dans l’année à venir.

D’un point de vue financier, ces cyberattaques peuvent exercer une pression considérable sur les PME, ce qui constitue une préoccupation majeure dans un climat macroéconomique difficile. Une étude récente indique ainsi que 60% de PME victimes été contraintes de mettre fin à leur activité dans les six mois suivants l’attaque.

L’ingénierie sociale

Si de nombreuses PME se disent familiarisées avec les logiciels malveillants et ont installé ce qu’elles considèrent comme des mesures de sécurité (par ex., des logiciels antivirus de base) pour lutter contre ce type d’attaques, le paysage des menaces est nettement plus complexe et sophistiqué aujourd’hui qu’hier. Les cybercriminels continuent de faire évoluer rapidement leurs stratégies pour contourner les outils de sécurité traditionnels, ce qui rend les systèmes antivirus historiques de plus en plus inefficaces pour protéger les PME.

De nombreux adversaires emploient des méthodes d’ingénierie sociale ciblant les employés pour s’introduire dans des entreprises de toutes tailles. L’année 2022 a été marquée par une multiplication des attaques basées sur l’identité et par le développement de techniques sophistiquées sans fichier, contournant les défenses traditionnelles d’authentification multi-facteurs. Les attaquants ne se contentent plus simplement de voler les identifiants, mais emploient désormais diverses techniques (Pass-the-Cookie, Golden SAML, ingénierie sociale exploitant la fatigue due à l’excès de requêtes MFA, etc.) pour compromettre les identités. Selon les données sur les menaces recueillies par CrowdStrike en 2022, 71 % des violations se passent de logiciels malveillants pour contourner les logiciels antivirus obsolètes qui ne recherchent que des logiciels malveillants connus sur la base de fichiers et de signatures.

L’évolution des techniques d’attaque ne montre aucun signe de ralentissement pour 2023. Dans ce contexte, les PME doivent à tout prix exploiter au mieux leur temps et leurs ressources pour tenir tête aux adversaires même les plus avancés et ce, malgré des budgets et des effectifs restreints.