PME et cybersécurité: le bon sens peut déjà aider

Hors-cadre
Par · 03/05/2018

L’un des thèmes couverts par le récent colloque du service Politique des PME du SPF Economie consacré à la numérisation des PME (voir notre article) était la désormais incontournable (cyber)sécurité.

Les risques et défis auxquels sont confrontées les PME n’ont rien de bien original ou spécifique. Et le colloque n’a pas permis – ce n’était d’ailleurs pas le but – de trouver des remèdes qu’elles pourraient plus particulièrement utiliser pour se défendre.

Le but était plutôt de faire passer certains messages, pour une prise de conscience plus tangible des dangers et de quelques moyens de limiter les dégâts potentiels.

Double peine

Pendant longtemps, les PME ont pu avoir l’illusion qu’elles étaient à l’abri des attaques des hackers. Trop petites, trop anodines, pas assez stratégiques, pas assez vache-à-lait… Aujourd’hui, ce qui était considéré comme une sorte d’oeil calme d’un cyclone généralisé s’est évaporé.

D’une part, parce qu’elles sont des victimes tout aussi intéressantes, en termes de rançon potentielle, d’impact sur l’image, de sources de données à valoriser. D’autre part, parce qu’elles font partie de la chaîne économique, dont chaque maillon peut être brisé.

Et les “dégâts” peuvent être tout aussi dévastateurs, sinon plus, pour les PME.

Un petit exemple, rarement évoqué, était cité par Walter Coenraets, chef de service à la FCCU (Federal Computer Crime Unit) de la Police fédérale: “80% des investisseurs refusent d’octroyer des moyens financiers aux sociétés qui ont été hackées.” Et ces investisseurs ne sont pas uniquement les banques, déjà fort répugnantes à prendre des risques dans un projet numérique. Il s’agit aussi de financiers privés, business angels & co.

Une petite bible, avec conseils pratiques…

Une image, une réputation, brisée par un piratage, une fuite de données, un racket… et c’est donc la double peine pour une (petite) entreprise, un coup supplémentaire porté à sa viabilité après les éventuelles amendes qui lui auraient été imposées en vertu, par exemple, de la nouvelle réglementation GDPR.

“Les pertes s’expriment, dans l’ordre, en termes de réputation, d’interruption d’activités et de pertes financières.” Et Walter Coenraets de poursuivre: “Europol prévoit, demain, une recrudescence des ransomware [rançongiciels] et des cryptoware [Ndlr: cryptologiciels qui verrouillent et rendent les données inaccessibles].

Les attaques seront plus nombreuses, plus ciblées, plus spécialisées. Elles prendront la forme de codes annexés à des courriels d’hameçonnage. Par exemple d’anodines factures.”

Sans oublier la myriade d’autres formes de menaces: fraudes au CEO, espionnage, piratage de propriété intellectuelle, maliciels mobiles, réseaux de zombies IoT (capteurs détournés)…

Impuissantes devant la fatalité?

La lutte est-elle perdue d’avance, en particulier pour des PME qui n’ont pas autant de moyens, de ressources et de compétences que les grandes entreprises? “Pas forcément”, soulignait pour sa part Phédra Clouner, directrice adjointe du Centre pour la Cybersécurité Belgique (CCB).

“La cybersécurité est en effet une question d’investissement mais aussi de bon sens. Il s’agit surtout de prendre des mesures logiques préventives pour minimiser les menaces. Quelques mesures simples – mots de passe forts, gestion des sauvegardes, sensibilisation des employés contre l’hameçonnage… – permettent déjà de réduire l’impact d’attaques. 

Il faut s’organiser en interne pour pouvoir parer à différentes formes de menaces. Il faut expliquer aux employés les bonnes pratiques à respecter pour les divers types de communication avec le monde extérieur.”

Walter Coenraets (FCCU): “Le danger existe désormais pour tous les systèmes industriels et plus uniquement les systèmes les plus critiques.”

Lors de l’atelier intitulé “Internet des Objets et protection des données”, le sujet de la sécurité a refait surface. Lors des échanges, les participants ont notamment pointé une faiblesse bien réelle qu’il s’agit de résoudre au plus vite. En l’occurrence, la faible compréhension qu’ont les citoyens – mais aussi les plus petites structures – du fonctionnement de ces capteurs en tous genres qui inondent notre environnement à l’heure où l’Internet des Objets est en plein essor.

Source: Symantec

Quelles collectes de données sont-elles opérées? Quels traitements en sont-ils faits? “Un problème de formation et de vulgarisation se pose”, résumait Lionel Anciaux, fondateur de la IOT Factory. Et il serait urgent de s’y atteler.

C’est d’ailleurs un problème que Saskia Van Uffelen, directrice générale d’Ericsson Belux et Digital Champion belge auprès de l’UE, avait elle aussi pointé lors de l’atelier consacré à l’emploi (relire notre article): “L’arrivée du GDPR est une belle opportunité mais le texte de la réglementation est muet dans un domaine essentiel: la sécurité pour l’industrie 4.0 ou la maison connectée.

Le danger, les risques de sécurité, ne viendront pas du voisin mais de l’autre bout de la planète. Il y a là d’importantes opportunités d’emplois. Qu’attendent les universités pour inclure des formations de juristes en sécurité IoT?”