PME : la friandise préférée des hackers

Avi Bartov, Fondateur de Menaya livre son expertise sur le sujet.

Vous êtes au volant de votre voiture et vous roulez à vive allure. Tous les voyants étant au vert, vous ne prenez aucune précaution. La tête un peu ailleurs, sans forcément vous en rendre compte, vous grillez les feux à tous les croisements. Le pied sur l’accélérateur, vous vous dites : “il ne m’arrivera rien, je ne cours aucun risque, et je ne serai jamais repéré”. C’est ce genre de monologue qui se déroule dans la tête d’un dirigeant de PME lorsqu’il lui arrive de penser au risque de cyberattaque : “Aucun pirate informatique ne va s’intéresser à mon entreprise, elle est bien trop petite pour les attirer”. 

Trop souvent, et souvent trop tard, les dirigeants de PME estiment qu’ils ne seront pas la cible des pirates informatiques. Croyant que c’est la taille qui désigne la victime — plus on est gros, plus on risquerait de subir une cyberattaque —, ils sont en effet persuadés par principe de passer sous leurs radars. Pour ce qui est d’assurer la pérennité de son entreprise, cette attitude est à peu près aussi fiable que de penser rester vivant en jouant tous les jours à la roulette russe. Dans le déni d’un risque devenu pourtant majeur, ces responsables considèrent à tort qu’ils ne sont pas des cibles de choix pour les cybercriminels. Pour ne rien arranger, cette croyance est souvent renforcée par le discours médiatique. Ce dernier met l’accent sur des chiffres énormes et du sensationnel, se polarisent souvent sur les violations « spectaculaires » de grandes entreprises et de gouvernements. On comprend mieux pourquoi cette idée erronée continue à se répandre. Pourtant, ce discours pourrait commencer à évoluer. Du point de vue des cybercriminels, que l’on soit petit ou gros ne change rien à l’affaire : pour les hackers, c’est taille unique ! 

La PME, une friandise pour les hackers

Le coût des cyberattaques croît tous les ans de manière exponentielle. Selon McAfee et le CSIS (Center of Strategic and International Studies), les pertes mondiales imputables aux attaques informatiques ont atteint 1 trillion de dollars (mille milliards) en 2020[1]. Cela représente plus d’1% du PIB mondial[2]. Les PME ne sont pas épargnées par ce phénomène, loin de là. Elles sont même visées en priorité. Une PME est une friandise de choix pour un hacker, soit parce qu’elle est en général facile à pirater, soit parce qu’elle est une porte d’entrée qui, tel un cheval de Troie, facilite la pénétration des réseaux de plus grosses entreprises (par définition mieux défendues) avec qui elle est en rapport.

Selon la Commission des Valeurs Mobilières (CVM) des États-Unis, les PME courent « un risque encore plus grand et sont beaucoup plus vulnérables une fois qu’elles sont victimes d’une infraction ». Alors que le volume des attaques croît au même rythme que les profits générés pour leurs auteurs, toutes les entreprises — quelle que soit leur taille — doivent s’atteler sérieusement à défendre leur Système d’Information contre la compromission. Pourtant, cette nécessité reste encore trop souvent une vue de l’esprit. Elle n’est hélas pas envisagée avec tout le sérieux nécessaire.

Le site web ou comment tomber dans les mailles du filet

La plupart du temps, seules les grandes entreprises ont mis en place des actions pour éloigner cette menace. En revanche, les PME sont encore largement dans le déni. Elles refusent d’admettre qu’elles ont été, sont ou seront visées, ou plus grave encore, elles estiment qu’elles disposent déjà d’une protection suffisante sur laquelle elles peuvent se reposer. 

Il existe pourtant de nombreux exemples de TPE/PME, voire d’ETI, ayant dû se placer en redressement judiciaire après une cyberattaque. Selon les autorités américaines, la moitié d’entre elles font faillite dans les 6 mois qui suivent l’agression. Ces exemples démontrent sans équivoque qu’il est primordial de prendre des mesures pour limiter le risque. 

A leur décharge, les dirigeants n’ont souvent pas conscience de la facilité et de la rapidité avec lesquelles les hackers découvrent et exploitent les vulnérabilités, et encore moins de la façon dont cela met en péril les serveurs de sites Web, qu’ils soient mis à jour ou obsolètes. Selon la US Small Business Administration (SBA), les entreprises qui utilisent des systèmes de gestion de contenu Web sont confrontées à des menaces encore plus graves : « À tout moment, entre 70 et 80 % des utilisateurs utilisent des versions obsolètes de WordPress, ce qui entraîne des vulnérabilités critiques et bien documentées. »

Les PME ont donc tout à gagner en ayant un site Web non seulement protégé mais aussi surveillé.