Académique Documents
Professionnel Documents
Culture Documents
Sommaire
Introduction 3
Partie 1 : Le cyber risque et ses impacts sur les entreprises notamment les
PME/TPE 5
I. La cybersécurité 6
I-1. Définition de la cybersécurité 6
1) Atteinte à la réputation 33
2) Perte de clients 34
4) Perte d’argent 35
5) Échec de l’entreprise 35
I. Méthodologie de recherche 39
I-1. Étude qualitative 40
I-2. Entretiens semi-directifs 42
III. Discussion 51
IV. Recommandations 58
2) Renforcement de la résilience 60
Conclusion 66
Références bibliographiques 68
Introduction
Aujourd’hui, la sécurité informatique et la nécessité d’assurer une haute
disponibilité des informations sont devenues un élément important pour la
plupart des entreprises, quel que soit le secteur auquel elles appartiennent,
puisque la plupart de leurs processus dépendent d’outils informatiques tels
que les logiciels de gestion, de comptabilité, etc.
Les enjeux technologiques sont d’une importance vitale dans tous les
domaines. D’autant plus s’il s’agit de nous faciliter la vie et de nous
protéger des agressions extérieures. Les menaces ou les attaques sur les
systèmes informatiques peuvent provenir d’un programme malveillant, tel
que des virus, ou par des moyens distants (criminalité sur les réseaux
Internet).
Toute entreprise, qu’il s’agisse d’une grande entreprise ou d’une PME, gère
des informations de grande valeur non seulement pour elle-même, mais
aussi pour ses clients. De plus, non seulement l’information est la cible des
cybercriminels, mais les systèmes qui la gèrent les intéressent également
puisqu’ils peuvent être utilisés pour perpétrer de nouvelles fraudes ou
simplement extorquer de l’argent à l’entreprise qui en est propriétaire. Pour
toutes ces raisons, connaître les principales cybermenaces pouvant
affecter les entreprises est vital afin de pouvoir les identifier activement et
donc pouvoir les éviter. Les attaques contre les entreprises se sont
multipliées depuis la croissance du commerce « en ligne » et le
développement des nouvelles technologies. Et face à la croyance que les
cyberattaques ne se concentrent que sur les grandes entreprises disposant
de grosses bases de données, la réalité dément déjà que les
cybercriminels profitent de la vulnérabilité des petites et moyennes
entreprises qui ne disposent pas de mesures de protection adéquates.
Partie 1 :
Le cyber risque et ses impacts sur les
entreprises notamment les PME/TPE
Dans cette première partie du travail, nous allons mettre en contexte notre
thème de recherche. À l’aide de l’exploration de différents ouvrages et
articles scientifiques, nous aurons un aperçu explicite sur la question de la
cybersécurité ainsi que son enjeu pour les entreprises. À travers les
différents chapitres et sections, les éléments théoriques qui ont trait à ce
sujet nous permettront de mieux répondre à notre grande interrogation.
1. La cybersécurité
L’intégralité de ce chapitre porte sur le panorama de ce qu’est la
cyberattaque ainsi que ses notions voisines. Et pour ce faire, nous allons
les définir et voir également les concepts intrinsèques. La détermination
des cibles de cette pratique ainsi que ces auteurs feront aussi objet de
notre étude.
La première chose à mentionner est que dans de nombreux cas, les deux
concepts de sécurité informatique et de sécurité de l’information sont
souvent confondus, bien qu’ils semblent très similaires, ils ont des points
clés qui font la différence. C’est pour cela qu’il nous semble important de
commencer par donner une définition de la sécurité informatique ou
cybersécurité.
1. Définition de la cybersécurité
Les nouvelles technologies offrent aux entreprises des outils de plus en
plus puissants, leur permettant à la fois de renforcer leur compétitivité et
d’optimiser rentabilité et leur productivité. Toutefois, l’informatisation des
activités et des opérations renforce la vulnérabilité des entreprises.
Selon la norme ISO 27005, un actif est tout ce qui a de l’importance/de la valeur pour l’orga
s’agir d’infrastructures telles que des bâtiments, du matériel informatique, du code logiciel,
Actifs
informations de base de données, la propriété intellectuelle (propriété intellectuelle). Même
pour l’organisation.
La vulnérabilité est définie comme une faiblesse d’un actif qui donne la possibilité d’être ex
Vulnérabilit
la vulnérabilité définit la probabilité de l’incapacité d’un actif à se défendre contre un agent
é
de résistance au sein de l’organisation menace ( Fantcho, & Babei (2017)p.5.
Menace Une menace peut être une cause potentielle qui peut être transformée en un incident indésira
Ventre (2016) stipule par ailleurs que la sécurité informatique peut être
définie comme la discipline chargée de planifier et de concevoir des
normes, des procédures, des méthodes et des techniques afin de garantir
qu’un système d’information est sécurisé, fiable et surtout disponible.
Sans aucun doute, les entreprises sont l’entité dont les informations à
caractère sensible sont le plus clairement quantifiables sur le plan
économique, car directement liées à leur volume d’activité. La croissance
des réseaux sociaux et des transactions électroniques commerciales ont
conduit les criminels à concentrer l’un de leurs principaux objectifs sur le vol
d’informations confidentielles de l’entreprise, compromettant sa position
concurrentielle ou, dans la plupart des cas.
Les acteurs malveillants peuvent apprendre beaucoup des liens WiFi non
cryptés à proximité. … si la connexion sans fil n’est pas elle-même cryptée
à l’aide d’une norme moderne …, alors tout attaquant à proximité peut
écouter tout le trafic non crypté circulant entre l’ordinateur et le routeur sans
fil (KPMG, (2017).
Le monde des affaires est toujours sur le point d’aborder les problèmes liés
à la cybersécurité de la bonne manière et ce fait rend très difficile l’adoption
d’une bonne cyberstratégie. Cela se voit clairement dans la façon dont les
entreprises mesurent les risques et l’impact qu’aurait une cyberattaque, car
bien souvent les entreprises ne se concentrent que sur les coûts directs qui
y sont associés, alors qu’elles devraient également prêter attention aux
coûts intangibles liés à ces attaques (Kempf (2015 p. 153).
Sécurité
L’un des principaux défis auxquels l’informatique doit faire face aujourd’hui
est la sécurité ou la cybersécurité. La multitude de données, d’identités et
d’informations personnelles que nous partageons et traitons
quotidiennement est si élevée que sa protection est devenue un défi,
compte tenu de la valeur extrêmement élevée de ces actifs pour toute
organisation.
Accessibilité
L’accessibilité et la disponibilité des données sont cruciales, en particulier
pour les profils ayant des responsabilités plus importantes au sein d’une
organisation. Rendre les données accessibles à toutes les parties avec
interopérabilité serait facile. Cependant, malgré la connaissance des
grands avantages qu’il peut offrir, il reste encore de nombreuses tâches à
accomplir par l’informatique, afin de l’étendre à davantage d’industries et
d’entreprises.
Système d’intégration
Assurer la bonne intégration des différents services, écrits tour à tour dans
des technologies ou des langages différents, est un défi de mise en œuvre
pour l’informatique dans de nombreuses organisations.
Face à ces situations, certaines actions sont mises en place dans les
entreprises pour faire face ou se prémunir des cyberattaques. Parmi cela, il
y a les moyens de défense comme la sécurisation des données, les
vigilances, la résilience ; et les moyens pour maitriser les modes
opératoires de la cybercriminalité.
Même s’il faut admettre que certaines grandes entreprises sont également
des victimes, surtout ces dernières années. D’ailleurs, en 2021, nous
pouvons en citer quelques-unes qui ont été les plus marquantes. Le cas de
CNA Financial (une entreprise assureur des États-Unis) peut en être un
exemple parfait de cyberattaque. En effet, suite à l’attaque qualifiée de
« ransomware » que cette entreprise a subie, des arrêts de service ainsi
qu’un paiement de rançon équivaut à 40 millions de dollars ont eu lieu. Un
cas presque similaire fut découvert avec l’assureur français « AXA » qui lui
aussi était victime de piratage et vol de données. Lors de ce piratage,
l’entreprise a subi une perte financière de 5,5 milliards de dollars. Ajouté à
celle-ci, d’autres entreprises françaises sont également concernées comme
SVI assurance, l’Arca Assurance, AssurOne ou encore l’Assu2000. Elles
étaient toutes victimes de la même attaque (rançongiciel). 2
Un autre cas qui retient aussi notre attention est celui qu’a connu la société
Apple avec la sortie de leur produit iPhone X en 2017. L’instauration du
système de reconnaissance faciale très complexe et sophistiqué dans ce
produit a voulu témoigner l’assurance de la cybersécurité. Toutefois, à
travers l’ingéniosité d’une entreprise vietnamienne (Bkav), ce système a été
dupé. Ce qui constitue une attaque envers la société Apple (Meziat et
Guille (2019 p.1).
Par exemple, l’attaque DDOS est plus fréquente dans les PME et le e-
commerce, tandis que les attaques de rançongiciels (détournement de
données) paralysent généralement les grandes entreprises du secteur de
l’énergie ou de la finance ou même les organismes gouvernementaux pour
demander plus tard de grosses sommes d’argent pour la rançon (Lagare
(2021).
Les attaques contre les systèmes physiques comprennent les attaques matériell
Attaques contre les
et de disques durs. D’autres attaques incluent les attaques de terminaux non pr
systèmes physiques
serveurs, le piratage du réseau interne, etc.
Attaques d’authentification Les attaques d’authentification et de privilège incluent des exigences de mot d
et de privilège privilèges élevés et une dérive des privilèges. Cela se produit généralement en
Le déni de service comprend les catastrophes naturelles telles que les interrupt
service ciblé tel que l’épuisement de la bande passante, l’attaque de service vu
Déni de service
une dépendance excessive à une personne ou à quelques individus. D’autres ty
contre les cyberincidents et le manque de documentation appropriée.
Contenu Internet Le contenu Internet malveillant comprend l’ingénierie sociale telle que les atta
malveillant virus, le cheval de Troie et les virus inappropriés entraînés par des téléchargem
Cependant, en réalité, les PME sont une cible potentielle et croissante pour
les cybercriminels. En raison de l’augmentation du nombre de
cyberattaques, la cybersécurité devient une préoccupation croissante pour
les propriétaires de petites entreprises. Cela renforce le fait que les
cybercriminels ne font pas de distinction entre les grandes entreprises et
les PME, tant que c’est rentable et lucratif. Ils cibleront toute entité qui
possède des données précieuses et un système de sécurité faible. Les
exemples incluent les informations de carte de crédit et les numéros de
sécurité sociale. Par conséquent, les informations que les PME détiennent
actuellement ont une valeur considérable pour les cybercriminels.
À mesure que les PME et les TPE intègrent les nouvelles technologies
dans leurs activités, leur exposition au cyberrisque augmente. Les
entreprises doivent développer une compréhension de ce qui est le
cyberrisque et de l’étendue de leur exposition récente en ce qui concerne
leur secteur d’activité. Pourtant, plus de la moitié des PME ne réalisent pas
qu’elles sont mal protégées contre les cybermenaces. Si certaines PME
sont conscientes de ces menaces, elles ne pensent pas que des mesures
préventives supplémentaires doivent être prises pour se protéger : « les
PME se pensent trop souvent à l’abri du danger car elles ont déjà pris des
mesures d’ordre technique (logiciels, pare-feu…) qu’elles estiment, à tort,
imparables. Cela va prendre encore du temps pour que le réflexe cyber-
assurance s’impose au sein des petites entreprises malgré mon rôle de
conseil. Il est regrettable qu’une police d’assurance soit souscrite après
que l’incident ait eu lieu, c’est pourtant mon quotidien » (Senat 2022)
Adware, l’un des cyber-risques les plus utilisés par les pirates.
Ce sont des programmes ou des fichiers qui sont installés sur
un système numérique avec ou sans le consentement de
l’utilisateur pour afficher de la publicité de manière incontrôlée.
Ils présentent un risque moindre que les autres, mais, dans la
plupart des cas, il est difficile de s’en débarrasser ;
Attaque DDOS : les attaques par déni de service distribué sont
généralement menées contre des entreprises ayant des
modèles commerciaux numériques. Ils sont plus difficiles à
détecter à temps que d’autres comme les adwares, les
malwares ou le phishing. Les mesures de sécurité sont
comparables à l’installation d’une « armure » autour de
l’infrastructure du site Web ;
Piratage Wi-Fi : cela se présente généralement à travers des
problèmes de vitesse avec le réseau, cela est peut-être dû à
une vulnérabilité du réseau Wi-Fi. Cette attaque compromet la
sécurité des PME, car elle permet la visibilité des documents
sur les appareils connectés.
3. Comment les PME/TPME se protègent-elles ?
Une préoccupation constante dans la littérature a été le manque de sérieux
dans les manières habituelles des PME de faire face aux menaces de
cybersécurité. Par exemple, les PME ne sont pas apparues concernées par
la pression normative de la communauté de la cybersécurité, comme à
travers les pratiques professionnelles. Par conséquent, les personnes
autorisées participent généralement inconsciemment à des pratiques à
risque qui pourraient affecter la sécurité, la confidentialité, les données et
les mesures techniques de prévention en vigueur. Comme le souligne une
autre étude, la plupart des experts en cybersécurité ont supposé que les
pratiques de sécurité actuelles utilisées par les PME pourraient être un
obstacle à l’efficacité en raison du manque d’engagement des PME et des
connaissances qui seraient acquises auprès des grandes entreprises
(Bpifrance (2017). p.15).
Par ailleurs, force est de constater que les cyber risques sont des défis
importants pour les PME et TPE, car les cyberattaques peuvent avoir des
conséquences importantes sur leurs activités : atteinte à la réputation, la
perte de clients, le retard du client, la capacité de l’entreprise à fonctionner,
le temps de récupération, la perte d’argent et d’économies et la faillite de
l’entreprise.
En outre, force est de constater que les normes disponibles pour la gestion
des risques aujourd’hui n’incluent pas de prise en charge des situations
spécifiques rencontrées par les PME, ce qui entraîne une différence entre
ce qui est énoncé dans la théorie et l’exécution. Un autre défi que les PME
doivent prendre en compte est le manque de ressources pour mettre en
œuvre correctement un processus de gestion des risques.
La question de sensibilisation
Sous-estimer la sensibilisation à la cybersécurité entraîne des risques
considérables pour tous les actifs de l’organisation. Les PME souffrent
probablement d’un manque de connaissance des types de cyberattaques,
ce qui affecte significativement leur sensibilisation aux cybercrimes. Par
conséquent, les actions des employés pourraient finalement affecter le
succès ou l’échec des initiatives de cybersécurité de l’entreprise. Les PME
doivent être conscientes des conséquences de la cybersécurité et essayer
d’y faire face, car cette prise de conscience pourrait potentiellement les
amener à adopter les bons comportements (Revue de la Gendarmerie
Nationale (2019, p.19).
Illustration 1 : Les enjeux des cyber attaques pour les PME / TPE
1. Atteinte à la réputation
Pour se développer sur long terme, les PME ont besoin d’une solide
réputation. Selon l’enquête KPMG (2021), les PME ne pensent pas que les
cyberincidents affecteront leur réputation. Cependant, les cyberincidents
ont un impact sur leur réputation. Par ailleurs, une enquête menée par
KPMG démontre que les tiers des PME qui ont souffert de cyberviolations
ont porté atteinte à leur réputation. Dans cette enquête, KPMG a défini
l’atteinte à la réputation comme la perte de clients, la capacité d’attirer de
nouveaux employés et la capacité de gagner de nouveaux contrats.
2. Perte de clients
Pour toutes les entreprises, les clients sont la clé fondamentale du succès.
Selon Hazane (2016), un client sur dix cessera de faire affaire avec
l’entreprise qui a subi des cyberattaques, et un client sur quatre lui fera
moins de commerce. De même, dans l’enquête menée par KPMG, 4
consommateurs sur 5 se demandent quelles entreprises ont accès à leurs
données et si ces données sont sûres. Par conséquent, toute cyberviolation
pourrait réduire considérablement la confiance des clients dans l’entreprise
et peut conduire à une augmentation potentielle de la perte de clients.
4. Perte d’argent
La cible la plus courante des cyberattaques est les sources de liquidité. Ces
dernières années, les PME sont confrontées à une augmentation
considérable du montant d’argent volé sur leur compte bancaire en raison
de cyberattaques (IFACI 2.0 (2020 p.14). De plus, même si les PME
peuvent porter plainte pour fraude et se faire rembourser leurs pertes, le
préjudice causé à leur entreprise a déjà été fait.
5. Échec de l’entreprise
Il n’y a pas une seule cause de cyber attaques directement liée à l’échec
d’une entreprise, mais plutôt une combinaison des causes énumérées ci-
dessus. Une combinaison de dommages à la réputation, de perte de
clients, de retards, de la capacité à fonctionner, de temps de récupération
et de perte d’argent alimente le fait qu’une grande majorité des PME risque
de fermer leur porte dans les six mois suivant une cyberattaque (IFACI 2.0
(2020).
Un autre niveau de complexité est que les PME/TPE sont présentes sur de
nombreux types de secteurs d’activité, tels que les services financiers, les
magasins de détail, les soins médicaux, les administrations, la technologie
et les logiciels, l’éducation et d’autres groupes plus petits. Différents
secteurs d’activité des PME sont exposés à différents types de
cyberrisques et à différentes fréquences de cyberattaques. Les données
volées concernent généralement des numéros de sécurité sociale. La perte
de ces numéros critiques peut souvent conduire à des vols d’identité. Ainsi,
un autre défi auquel les PME sont confrontées est d’établir un plan de
gestion des cyberrisques adapté aux caractéristiques de leurs secteurs
d’activité uniques.
1. Méthodologie de recherche
La recherche ne se limite pas à décider d’une approche qualitative ou à
mener une étude de cas. Pour vraiment résoudre un problème de
recherche avec succès ou approfondir le sujet, une méthode de recherche
doit être développée. La méthodologie de recherche contient le plan
général de la recherche, quelles données doivent être collectées, comment
les données doivent être collectées, comment l’analyse sera effectuée,
entre autres. Cette information est fondamentale, car elle permet aux
chercheurs de gagner du temps et des ressources grâce à une préparation
adéquate.
1. Étude qualitative
Compte tenu du caractère exploratoire du contexte de cyber risque dans
les PME/TPE, les méthodes de recherches qualitatives semblent être les
plus adaptées pour mener les travaux de recherche.
Ainsi dans cette étude, nous avons décidé d’adopter une méthode et une
conception qualitative d’études de cas multiples pour explorer les stratégies
de défenses des PME/TPE face aux cyber risques.
2. Entretiens semi-directifs
Le recours à l’entretien semi-directif a pour objectif l’exploration en
profondeur d’un univers. On recherche la richesse du contenu, sa
profondeur, sa qualité et sa diversité. On travaille donc avec des
échantillons de taille réduite qui n’ont aucun objectif de représentativité au
sens statistique du terme, mais qui répondent à des critères de pertinence
de la structure de population étudiée compte tenu du problème spécifique
d’étude.
Dans cette étude, des entretiens semi-directifs ont été menés en utilisant
un ensemble prédéfini de questions ouvertes. Les entrevues semi-
structurées ont été menées à l’aide de conversations en face à face. Pour
assurer la crédibilité et la rigueur de la collecte et de l’analyse des données,
les mêmes questions ont été posées à chaque personne interviewée afin
quelques questions supplémentaires en fonction des réponses obtenues.
Entreprise 1 Commerce
Entreprise 3 Transport
Entreprise 4 Industrie
Entreprise 6 Artisanal
Entreprise 9 Artisanal
Entreprise 10 Financier
Entreprise 11 Industrie
Entreprise 12 Distribution
Entreprise 13 Financier
Entreprise 14 Construction
En tout, nous considérons que les PME/TPE ont une assez bonne
connaissance de ce que sont les risques cyber et la cybercriminalité et
aussi leurs conséquences.
En effet, si ce terme est bien connu dans le secteur des PME/TPE, c’est
notamment en raison du fait que la plupart d’entre elles ont déjà subi des
attaques informatiques, en tout cas, c’est le cas de la plus de la moitié des
entreprises que nous avons approchées dans le cadre de ce travail.
Selon les entretiens menés, il est constaté que plus de la moitié des
PME/TPE de notre échantillon ont déjà été victimes de cyberattaques. Par
ailleurs, ce n’est pas le cas pour les 47% restants. Deux d’entre elles ont
signalé que l’incident était une attaque de virus. Toutefois, nous constatons
qu’en raison du faible nombre de preuves de cybercriminalité, il n’est pas
possible de tirer une conclusion sur la vulnérabilité des entreprises en
fonction du type d’activité commerciale qu’elles exercent. Ce qui est tout
simplement sûr, c’est que certaines entreprises se sentent menacer, même
ce n’est pas le cas de la majorité. En effet, les résultats des entretiens
montrent que 33% des PME/TPE se sentent menacées par les
cyberattaques, ce n’est pas le cas pour les 67% restants. Cette situation,
assez contradictoire par rapport aux réponses obtenues à travers la
question précédente, peut s’expliquer, d’une part, par un manque de
connaissance sur les impacts réels des cyberattaques, et d’autre part, par
l’existence d’une stratégie efficace pour faire face aux risques dans ces
entreprises. Cela étant, car la majorité des PME/TPE déclare avoir déjà été
victime de cyberattaques, pourtant, seul un tiers d’entre elles se sentent
menacer.
Face à tout cela, il nous a semblé important d’interrogé les PME/TPE quant
aux effets possibles des cyberattaques sur leur organisation et la pérennité
de leurs activités : « Selon vous, quels peuvent être les effets des
cyberattaques sur votre entreprise ? ». À travers cette question, nous avons
remarqué que la majorité des réponses tournent autour de la perte
financière. Six des douze répondants ont affirmé que les cyberattaques
pourraient entrainer des pertes d’argent. L’atteinte à la réputation ainsi que
la perte d’informations importantes ont également été évoqué par beaucoup
de répondants. Ainsi, bien que de nombreuses PME/TPE pensent ne pas
se sentir menacer par les cyberattaques, beaucoup sont conscientes es
pertes encourues.
Les entretiens nous ont permis de constater que seules très peu de
PME/TPE accordent une grande importance aux cyberattaques pour se
prémunir à travers des contrats d’assurance. Dans le même temps, il n’y a
que très peu d’entre elles qui organisent des formations de sensibilisation à
la sécurité du personnel et utilisent des systèmes de journalisation et
d’alerte.
Pourtant, lorsque nous avons demandé aux PME et TPE si elles sont
prêtes à affronter les cybers attaques, certaines ont affirmé que oui.
Malgré les systèmes de défense mis en place par les PME /TPE pour se
protéger contre les cyberattaques, beaucoup d’entre elles aussi, 53%,
déclarent ne pas encore être prêtes à affronter les cyberattaques. Par
ailleurs, ce n’est pas le cas pour les 47% qui se sentent prêtes pour faire
face à ce type de menace.
3. Discussion
Les petites et moyennes entreprises (PME) ont souvent été encouragées à
tirer parti de toutes les opportunités possibles offertes par les nouvelles
technologies telles que les services de cloud computing pour se prémunir
des risques cyber ou encore d’autres techniques à travers des logiciels
appropriés. Pourtant, il existe un énorme malentendu sur les cyber risques
qu’elles encourent. La sous-estimation des menaces des cyberattaques par
les PME entraîne une augmentation de leurs vulnérabilités et de leurs
risques, qui peuvent malheureusement devenir de véritables défis pour
elles et d’autres parties prenantes.
Décrire les menaces de cybersécurité dans les PME/TPE pourrait être une
solution clé pour aider cette catégorie d’entreprise à comprendre le concept
principal de la cybersécurité qui peut avoir des impacts négatifs sur leurs
activités. Pourtant, de nombreux signes indiquent que les PME/TPE sous-
estiment les cybermenaces en n’utilisant pas de mesures de sécurité
efficaces.
Les résultats des entretiens ont pu mettre en évidence les pratiques des
PME/TPE en termes de cybersécurité ainsi que les stratégies qu’elles
mettent en place pour se protéger. En comparant les résultats avec le
cadre théorique, certaines tendances peuvent être mises en évidence.
Selon Hazane (2016) on assiste à une augmentation des cyberattaques
dirigées contre les PME qui devient souvent problématique puisque ces
entreprises, dans de nombreux cas, ont des stratégies de défense
insuffisantes. En effet, il a été constaté, suite aux entretiens effectués, que
la protection contre les risques cyber se fait, pour la plupart des cas, par la
mise en place de procédure d’authentification et de protection antivirus.
Pour certaines d’entre elles, elles se protègent à travers certaines actions
et procédés comme la modification régulière des codes d’accès au réseau
ou encore par la souscription d’assurance. Cela signifie que non seulement
les PME/TPE ignorent qu’elles courent des risques, mais qu’elles ne font
rien pour se protéger. Bien qu’un manque de connaissances soit un facteur
explicatif, le manque d’organisation et de capacité en gestion des risques
contribue également à cette vulnérabilité.
Pour cette raison, nous recommandons que, pour prévenir l’impact des
cyberrisques sur les PME, il soit essentiel d’avoir une structure efficace de
gestion des cyberrisques qui soit revue chaque année, car les menaces
évoluent constamment.
En effet, nos résultats identifient que les défis auxquels sont confrontées
les PME/TPE face aux cyberattaques sont nombreux et de natures
différentes. Le problème sous-jacent commun à tous semble être la
sensibilisation et l’engagement de la direction, qui à leur tour déterminent le
budget, l’allocation des ressources et la mise en œuvre efficace des
pratiques de cybersécurité.
De plus, la littérature nous montre que les PME/TPE sont les entreprises
les plus exposées à ce type d’incident, car, en général, elles n’ont
généralement pas de plan de cybersécurité spécifique pour pallier ces
failles dans le système. Toute faille de sécurité, aussi minime soit-elle, sera
traquée par des pirates avec un seul objectif : s’emparer des données de
l’entreprise afin que la rançon soit payée.
4. Recommandations
Bien que nous entendions parler de transformation numérique depuis
plusieurs années, il reste encore beaucoup à faire dans ce domaine. Les
progrès récents et continus de l’informatique (ou des technologies de
l’information) sont devenus les protagonistes du processus de
développement socio-économique dans lequel nous sommes plongés.
Alors que certaines entreprises ont déjà commencé à savourer les grandes
opportunités de croissance que la transformation numérique et
l’informatique leur ont offertes, beaucoup d’autres n’ont même pas
envisagé la nécessité de la rejoindre, notamment les PME/TPE. Face à
cette situation, les défis auxquels l’informatique doit faire face sont
nombreux.
Pour cela, quelques pistes d’actions sont présentées dans ce chapitre pour
optimiser et renforcer les stratégies de défense des PME/TPE contre les
cyber attaques.
2. Renforcement de la résilience
Au-delà de la simple dépendance à la technologie de l’information et de la
communication, les tendances mondiales actuelles exercent une pression
unique sur l’ensemble de la cyber-résilience. La course aux armements
entre l’industrie de la sécurité et les cybercriminels continue de s’intensifier,
mais les entreprises d’aujourd’hui ont plus que jamais à perdre de la perte
de données. Dans ce contexte, la cyber-résilience se montre plus que
jamais primordiale.
Pour faire face à la variété d’incidents qui pourraient leur arriver, les
PME/TPE doivent être cyber-résilientes, c’est-à-dire être capables
d’anticiper, de détecter, de résister, de récupérer et d’évoluer face aux
cyber-incidents. Ce concept de cyber-résilience est plus large que le
concept traditionnel de cybersécurité, qui se concentrait principalement sur
la protection des systèmes contre les attaques malveillantes.
Essentiellement, la différence entre la cybersécurité et la cyber-résilience
peut se résumer en ce que la cybersécurité vise à rendre les systèmes
infaillibles tandis que la cyber-résilience vise à rendre les systèmes sûrs en
cas de défaillance.
Pour avoir une idée de l’impact des risques cyber sur les PME, il existe
actuellement des polices d’assurance qui incluent ce type de couverture.
De plus en plus d’entreprises multinationales et de PME contractent des
assurances cyber risques avec l’idée d’améliorer la gestion des risques
dans le domaine de la sécurité informatique. L’objectif de ces polices est de
fournir une couverture aux entreprises en transférant le risque aux
assureurs.
Conclusion
Avant de conclure, il est important de préciser que l’objet de cette étude est
d’analyser la vulnérabilité des PME/TPE en termes de cyberattaques en
répondant à la problématique suivante : « Comment la fonction risque
s’organise et se déploie-t-elle dans les PME/TPE pour améliorer la
cybersécurité ? ». Pour répondre à cette problématique, une étude
qualitative a été menée à travers des entretiens auprès d’un échantillon de
PME/TPE.
Une étude récente menée par De Werra et Benhamou révèle que les
PME/TPE ont davantage besoin d’informations supplémentaires sur les
risques cyber et pour pouvoir développer le contenu de leurs programmes
de sensibilisation. La création du meilleur programme de sensibilisation
possible pourrait aider à réduire les risques potentiels à des niveaux
acceptables tout en faisant face au manque de moyens dont souffrent ces
entreprises.
Par ailleurs, il nous semble important de noter que cette étude n’a pas pu
collecter beaucoup de données sur les incidents de cybercriminalité en
raison du nombre inférieur de répondants. C’est donc l’une de sa plus
grande limite, mais cela pourrait aussi faire l’objet d’une étude future, afin
d’établir des stratégies adaptées à chaque type d’incidents.
Références bibliographiques
ANSSI. (s.d.) Principales menaces. ANSSI. Consulté le 20 mai 2022,
sur https://www.ssi.gouv.fr/entreprise/principales-menaces/
Dupont B., Gautrais V., (2010). Crime 2.0 : le web dans tous ses états,
Champ Pénal : Nouvelle revue internationale de criminologie, vol VII.
DOI :10.4000/champpenal.7782
1 https://www.institutlouisbachelier.org/laugmentation-des-
cyberattaques-represente-une-menace-systemique/