Exemple de Mémoire D

Exemple de mémoire d’Informatique
Cet exemple de mémoire vous donne un aperçu des attentes académique

relative à la rédaction de mémoire dans ce domaine de compétence.
Sommaire
Introduction 3
Partie 1 : Le cyber risque et ses impacts sur les entreprises notamment les
PME/TPE 5
I. La cybersécurité 6
I-1. Définition de la cybersécurité 6
I-2. Les diverses formes de cybercriminalité 11
I-3. Les facteurs de l’afflux des cyberattaques chez les entreprises 13
1. Les sources de cyber risque 13
a) Les sources internes 14
b) Les sources externes 15
2. Les enjeux économiques des cyberattaques pour les entreprises 16
I-4. Analyse des grands enjeux de l’atteinte de la cybersécurité 17
1. Un taux de piratage accru 18
2. Des attaques de plus en plus sophistiquées 20
3. Une violation du cyberespace de l’entreprise 20
I-5. Des risques qui peuvent provenir de l’erreur humaine 22

I-6. Défis de sécurisation du système et gestion de risque 23
II. Cybersécurité des TPE et des PME 25
II-1. Les principaux risques cyber pour les PME 27
II-2. Les cyberattaques ayant le plus d’impact sur les PME/TPE 29
II-3. Comment les PME/TPME se protègent-elles ? 30
II-4. La cyber-sécurité reste encore un défi de taille pour les PME/TPE 31
1) Atteinte à la réputation 33
2) Perte de clients 34
3) Retard du client et réduction de la capacité d’exploitation de l’entreprise

34
4) Perte d’argent 35
5) Échec de l’entreprise 35
II-5. Résilience des TPE-PME à ces risques 37
Partie 2 : Analyse des cybermenaces et de la cybersécurité dans les

PME/TPE 39
I. Méthodologie de recherche 39
I-1. Étude qualitative 40
I-2. Entretiens semi-directifs 42
I-3. Échantillon et guide d’entretien 43
I-4. Traitement des données 43

II. Présentation des résultats 45
III. Discussion 51
IV. Recommandations 58
1) Prise de décision en matière de cybersécurité 59
2) Renforcement de la résilience 60
3) Mettre en place des systèmes de sécurité 62
4) Avoir les capacités de cybersécurité 64
5) La cyber assurance : une nécessité ? 64
Conclusion 66
Références bibliographiques 68
Introduction
Aujourd’hui, la sécurité informatique et la nécessité d’assurer une haute
disponibilité des informations sont devenues un élément important pour la
plupart des entreprises, quel que soit le secteur auquel elles appartiennent,
puisque la plupart de leurs processus dépendent d’outils informatiques tels
que les logiciels de gestion, de comptabilité, etc.
Le forum économique mondial identifie le cyber risque systémique comme

l’un des risques les plus probables et les plus percutants pour les
entreprises. Les grandes institutions ont perdu près de 500 milliards de
dollars en raison d’événements de risque opérationnel entre 2011 à 2020,
principalement en raison de cyberattaques. Selon Marie Brière,
responsable du Centre de recherche aux investisseurs chez Amundi et
directrice scientifique du programme interdisciplinaire Finance and
Insurance Reloaded : « …Le Comité européen du risque systémique a
récemment caractérisé la cybersécurité comme un risque systémique pour
le système financier de l’Europe. Mais, malgré ces préoccupations
grandissantes, les risques cyber ont une couverture limitée par le secteur
assurantiel et il y a un besoin de développer des régulations micro et macro
prudentielles. Les défis sont très importants. Le premier est relatif aux
manques de données sur la survenue des cyberattaques, ce qui limite les
possibilités de quantifier précisément les risques et de développer des
tarifications probabilistes. Un deuxième challenge concerne l’assurabilité
des risques cyber par le secteur de l’assurance » (cité dans
https://www.institutlouisbachelier.org) .
1
Les enjeux technologiques sont d’une importance vitale dans tous les
domaines. D’autant plus s’il s’agit de nous faciliter la vie et de nous
protéger des agressions extérieures. Les menaces ou les attaques sur les
systèmes informatiques peuvent provenir d’un programme malveillant, tel
que des virus, ou par des moyens distants (criminalité sur les réseaux
Internet).
Quand on parle de termes de sécurité informatique, il faut comprendre les

bases qui constituent les fondements de cette science. L’une de ces bases
est le concept de sécurité qui est l’absence de risque par la confiance qui
existe en quelqu’un ou quelque chose. Si la sécurité est abordée d’un point
de vue disciplinaire, le concept peut être défini comme une science
interdisciplinaire pour évaluer et gérer les risques auxquels une personne,
un environnement ou une propriété est exposé. Il y a des pays où la
sécurité est une question nationale, bien que cela dépende du type de
sécurité, il en existe de nombreux types, par exemple, la sécurité
environnementale, la sécurité économique, la sécurité sanitaire et dans
presque la majorité des pays, lors de l’analyse du mot « sécurité », on fait
référence à la sécurité des personnes, par exemple, en évitant l’état de
risque de vol, de dommages corporels ou de biens matériels.
L’utilisation des médias informatiques et d’Internet pour commettre des

crimes a donné aux nouveaux criminels un tel pouvoir de diffusion que
pratiquement n’importe quel endroit de la planète ayant une connexion à
Internet est vulnérable à la portée de leurs méthodes. Compte tenu du fait
que les effets causés par une attaque informatique pourraient avoir des
conséquences plus dévastatrices que ceux causés par les attaques, un
problème d’une ampleur considérable se pose et doit être traité avec le plus
grand dévouement et effort possible.
La question de la cybersécurité représente également un enjeu majeur pour

le monde des entreprises. Ce qui explique les différentes procédures de
perfectionnement du système ainsi que le recours à une digitalisation. Une
telle initiative est due à la croissance des interactions à travers des réseaux
dans la réalisation des activités au quotidien entre des particuliers et aussi
des professionnels. Ces échanges et connexions peuvent contenir des
risques et peuvent faire l’objet d’une menace émanant de l’extérieur. La
considération d’un tel risque se trouve judicieuse pour chaque entreprise
afin de prévenir toutes attaques préjudiciables. Avec l’ampleur des dégâts
engendrés par la pratique des cyberattaques, il est très ardu de s’y remettre
rapidement ; d’où l’importance d’avoir des réactions assez efficientes.
Toute entreprise, qu’il s’agisse d’une grande entreprise ou d’une PME, gère
des informations de grande valeur non seulement pour elle-même, mais
aussi pour ses clients. De plus, non seulement l’information est la cible des
cybercriminels, mais les systèmes qui la gèrent les intéressent également
puisqu’ils peuvent être utilisés pour perpétrer de nouvelles fraudes ou
simplement extorquer de l’argent à l’entreprise qui en est propriétaire. Pour
toutes ces raisons, connaître les principales cybermenaces pouvant
affecter les entreprises est vital afin de pouvoir les identifier activement et
donc pouvoir les éviter. Les attaques contre les entreprises se sont
multipliées depuis la croissance du commerce « en ligne » et le
développement des nouvelles technologies. Et face à la croyance que les
cyberattaques ne se concentrent que sur les grandes entreprises disposant
de grosses bases de données, la réalité dément déjà que les
cybercriminels profitent de la vulnérabilité des petites et moyennes
entreprises qui ne disposent pas de mesures de protection adéquates.
Selon Hazane (2016), dans son article, « (In)sécurité numérique et PME :

transformer les défis en atouts. Sécurité et stratégie », L’utilisation d’une
technologie informatique fiable dans la petite entreprise est un facteur
majeur qui soutient sa croissance et renforce son avantage concurrentiel.
Malgré tous ces faits sur les avantages de l’utilisation des technologies
informatiques pour les PME, certains inconvénients peuvent être exploités
par les cybercriminels. Les technologies informatiques telles que le cloud
computing pourraient être une cible prioritaire pour les cyber-attaquants si
les vulnérabilités des fournisseurs ont déjà été identiﬁées.
C’est pourquoi il semble plus qu’intéressant de s’intéresser à la vulnérabilité

des PME et des TPE face aux cyberattaques en fonction des moyens dont
ces catégories disposent pour mettre en place des systèmes de
cybersécurité. C’est dans ce contexte que nous émettons la problématique
suivante : « Comment la fonction risque s’organise et se déploie-t-elle dans
les PME/TPE pour améliorer la cybersécurité ? »
Pour traiter cette question, ce travail se divise principalement en deux

parties : la première partie porte sur une revue de littérature concernant le
cyber risque et ses impacts sur les entreprises notamment les PME/TPE.
La seconde partie quant à elle porte sur une étude qualitative à travers
laquelle des entretiens semi-directifs seront menés auprès d’un échantillon
de PME/TPE.
Partie 1 :
Le cyber risque et ses impacts sur les
entreprises notamment les PME/TPE
Dans cette première partie du travail, nous allons mettre en contexte notre
thème de recherche. À l’aide de l’exploration de différents ouvrages et
articles scientifiques, nous aurons un aperçu explicite sur la question de la
cybersécurité ainsi que son enjeu pour les entreprises. À travers les
différents chapitres et sections, les éléments théoriques qui ont trait à ce
sujet nous permettront de mieux répondre à notre grande interrogation.
1. La cybersécurité
L’intégralité de ce chapitre porte sur le panorama de ce qu’est la
cyberattaque ainsi que ses notions voisines. Et pour ce faire, nous allons
les définir et voir également les concepts intrinsèques. La détermination
des cibles de cette pratique ainsi que ces auteurs feront aussi objet de
notre étude.
La première chose à mentionner est que dans de nombreux cas, les deux
concepts de sécurité informatique et de sécurité de l’information sont
souvent confondus, bien qu’ils semblent très similaires, ils ont des points
clés qui font la différence. C’est pour cela qu’il nous semble important de
commencer par donner une définition de la sécurité informatique ou
cybersécurité.
1. Définition de la cybersécurité
Les nouvelles technologies offrent aux entreprises des outils de plus en
plus puissants, leur permettant à la fois de renforcer leur compétitivité et
d’optimiser rentabilité et leur productivité. Toutefois, l’informatisation des
activités et des opérations renforce la vulnérabilité des entreprises.
En effet, force est de constater que le développement grandissant de

l’utilisation de la micro-informatique, le développement, voire l’explosion
des différents réseaux de communication, renforcent l’exposition des
banques à de nouveaux risques, notamment à des risques technologiques
et informatiques, dont les principaux sont :
 Risques engendrés par la multiplication et la distribution des
ressources pour renforcer la performance ;
 Risques liés aux pannes informatiques, notamment au niveau
des serveurs de données, des réseaux et des applications ;
 Multiplicité des profils d’internautes,
 Risques engendrés par l’utilisation d’Internet et des standards à
travers les services WEB, e-mail, transferts de fichiers, etc.
 Cyberattaques, pour le vol ou les modifications d’informations
confidentielles
 Usurpation d’identité ;
 Propagation de virus, etc.
Pour définir la mesure de protection de l’informatique, nous devons d’abord
déterminer ce qui peut être affecté par les menaces de sécurité
informatique. Des termes tels que ressource, menace et vulnérabilité sont
souvent utilisés dans les études de sécurité informatique pour décrire
d’autres concepts de sécurité informatique. Le tableau présenté ci-dessous
décrit ces termes de sécurité pour une meilleure compréhension.
Tableau 1 : Les termes clés de la sécurité informatique
Termes clés Signification
Selon la norme ISO 27005, un actif est tout ce qui a de l’importance/de la valeur pour l’orga
s’agir d’infrastructures telles que des bâtiments, du matériel informatique, du code logiciel,
Actifs
informations de base de données, la propriété intellectuelle (propriété intellectuelle). Même
pour l’organisation.
La vulnérabilité est définie comme une faiblesse d’un actif qui donne la possibilité d’être ex
Vulnérabilit
la vulnérabilité définit la probabilité de l’incapacité d’un actif à se défendre contre un agent
é
de résistance au sein de l’organisation menace ( Fantcho, & Babei (2017)p.5.
Menace Une menace peut être une cause potentielle qui peut être transformée en un incident indésira
La sécurité informatique est responsable de la sécurité de l’environnement

informatique. Selon plusieurs auteurs, l’informatique est la science en
charge des processus, techniques et méthodes qui cherchent à traiter,
stocker et transmettre des informations, tandis que la sécurité de
l’information est en principe une discipline transverse et ne concerne pas
seulement l’informatique, il s’intéresse à tout ce qui peut contenir de
l’information (Auger (2019). p.1). Bref, cela veut dire qu’il s’intéresse à
presque tout, ce qui conduit à affirmer qu’il y a plusieurs différences, mais
la plus pertinente est l’univers que chacun des concepts manipule dans
l’environnement informatique.
D’une manière générale, la sécurité informatique peut être définie comme

un processus de protection de la confidentialité et de l’intégrité des
informations contenues dans un système informatique. Une telle protection
peut être obtenue par le biais d’un logiciel, d’un matériel ou d’une sécurité
réseau.
Selon l’ANSSI (Glossaire, 2022)la cybersécurité est un « État recherché

pour un système d’information lui permettant de résister à des événements
issus du cyberespace susceptible de compromettre la disponibilité,
l’intégrité ou la confidentialité des données stockées, traitées ou transmises
et des services connexes que ces systèmes offrent ou qu’ils rendent
accessibles. La cybersécurité fait appel à des techniques de sécurité des
systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et
sur la mise en place d’une cyberdéfense ».
Ventre (2016) stipule par ailleurs que la sécurité informatique peut être
définie comme la discipline chargée de planifier et de concevoir des
normes, des procédures, des méthodes et des techniques afin de garantir
qu’un système d’information est sécurisé, fiable et surtout disponible.
Toutes ces définitions se rejoignent sur le fait que la sécurité informatique

consiste avant tout d’assurer la confidentialité des données disponibles
dans le système informatique. Pourtant, l’informatique est actuellement
inondée de toutes les informations possibles, mais l’information en elle-
même est encore un univers plus vaste et dans de nombreux cas plus
complexes à gérer, car les processus ne sont pas aussi visibles pour les
personnes impliquées.
La tâche principale de la sécurité informatique est de minimiser les risques

qui peuvent provenir de nombreuses sources, cela peut provenir de la
saisie de données, du support qui transporte l’information, du matériel
utilisé pour transmettre et recevoir les informations, des utilisateurs eux-
mêmes et même par les mêmes protocoles qui sont mis en œuvre, mais
toujours la tâche principale est de minimiser les risques pour obtenir une
sécurité meilleure et plus grande. Dans ce contexte, ce que la sécurité
devrait envisager peut-être classé en trois parties comme suit :
 Les utilisateurs : les utilisateurs sont considérés comme le

maillon le plus faible de la chaîne, car les personnes sont
impossibles à contrôler. Un utilisateur peut un jour se tromper
et oublier quelque chose ou avoir un accident et cet événement
peut gâcher le travail de longue date. Dans de nombreux cas,
le système et les informations doivent être protégés du même
utilisateur ;
 L’information : elle est considérée comme l’or de la sécurité
informatique puisque c’est ce que l’on veut protéger et ce qui
doit être sûr, autrement dit, on dit que c’est l’actif principal.
 Enfin, il y a l’infrastructure, c’est peut-être l’un des moyens les
plus maîtrisés, mais cela ne veut pas dire que ce soit celui qui
fait courir le moins de risques, cela dépendra toujours des
processus qui sont gérés. Des problèmes complexes doivent
être pris en compte, tels que l’accès non autorisé, le vol
d’identité, même les dommages les plus courants, par exemple,
le vol d’équipement, les inondations, les incendies ou toute
autre catastrophe naturelle pouvant affecter le matériel
physique du système de l’organisation. (CLUSIB, (2006).
Raphael (2018 p.11) indique également que « La sécurité informatique
c’est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité
d’un système contre les menaces accidentelles ou intentionnelles. L’objectif
de la sécurité informatique est d’assurer que les ressources matérielles
et/ou logicielles d’un parc informatique sont uniquement utilisées dans le
cadre prévu et par des personnes autorisées ». Ainsi, les quatre domaines
couverts par la sécurité informatique sont les suivants :
 Confidentialité : accès aux données et informations uniquement

pour les utilisateurs autorisés ;
 Intégrité : les utilisateurs autorisés sont les seuls à pouvoir
modifier les informations en cas de besoin.
 Disponibilité : toutes les données et informations doivent être
disponibles lorsque l’utilisateur en a besoin. De plus, il garantit
que le système est stable et opérationnel à tout moment.
 Authentification : la communication à travers le système est
sécurisée. Les identités sont réelles (Poinsot (2018).
La cybersécurité consiste à donc mettre en œuvre des cyber technologies
et des contrôles axés sur les personnes, des contrôles de gestion sur les
processus, l’infrastructure et les technologies, afin de réduire et de contrôler
le risque d’une cyberattaque.
2. Les diverses formes de cybercriminalité

La cybercriminalité se développe considérablement dans le monde de la
technologie aujourd’hui. Les criminels du World Wide Web exploitent les
informations personnelles des internautes pour leur propre profit. Les
cybercrimes sont à un niveau record, coûtant aux entreprises et aux
particuliers des milliards de dollars par an. L’évolution de la technologie et
l’accessibilité croissante des technologies intelligentes signifient qu’il existe
de multiples points d’accès aux données sensibles. Alors que les forces de
l’ordre tentent de s’attaquer à ce problème croissant, le nombre de
criminels continue de croître, profitant de l’anonymat d’Internet.
Malgré le fait qu’un pourcentage élevé de formes de cybercriminalité

s’établissent autour de l’obtention d’informations sensibles à des fins non
autorisées, la cybercriminalité comprend également des actes criminels
traditionnels, tels que le vol, l’usurpation d’identité, la fraude, le harcèlement
et donc un nombre incalculable de délits, qui, dans ce cas, sont engagés
via le réseau.
Il existe différentes formes de cybercriminalité. Nous allons en présenter

quelques-unes, mais cette liste n’est pas exhaustive :
 Le piratage : en termes simples, le piratage est un acte commis

par un intrus en accédant à votre système informatique sans
permission. Les pirates informatiques sont essentiellement tous
les programmeurs informatiques, qui ont une compréhension
avancée des ordinateurs et utilisent généralement ces
connaissances à mauvais escient pour des raisons
sournoises (Ventre, Loiseau et Aden (2021). Ce sont
généralement des passionnés de technologie qui ont des
compétences de niveau expert dans un logiciel ou un langage
particulier. Quant aux motifs, il pourrait y en avoir plusieurs,
mais les plus courants sont assez simples et peuvent
s’expliquer par une tendance humaine telle que la cupidité, la
renommée, le pouvoir, etc. pour effectuer des tâches qui sont
en dehors de l’intention du créateur, d’autres veulent
simplement provoquer la destruction ;
 Diffusion de virus : le virus informatique est « tout programme
capable d’infecter un autre programme en le modifiant de façon
à ce qu’il puisse à son tour se reproduire » (Boos (2019
p.63). Ils perturbent le fonctionnement de l’ordinateur et
affectent les données stockées, soit en les modifiant, soit en les
supprimant complètement ;
 Cyber-harcèlement : « le cyber-harcèlement est une situation
d’humiliation, de chantage voir même de vexation d’un ou de
plusieurs individus envers un autre. Cela peut survenir depuis
une « différence », comme être plus grand, plus gros, d’une
équipe de football différente » (De la, et Juan (2020). Les
Cyber-harceleur profitent fréquemment de l’anonymat du web
qui leur permet à tous de poursuivre leurs activités sans se
faire repérer ;
 Vol de marque : la propriété intellectuelle est définie comme
une innovation, une nouvelle recherche, une procédure, un
style et une formule qui ont une valeur marchande financière ;
 Vol d’identité : « le « vol d’identité » se caractérise par
l’exploitation simultanée des éléments identiﬁcateurs de la
victime par le délinquant » (Dupont (2010 p.250). Le malfaiteur
peut utiliser des informations personnelles et économiques
pertinentes ;
 Usurpation : il s’agit d’un moyen d’avoir un accès non autorisé
aux ordinateurs, où le malfaiteur envoie des notifications à un
ordinateur personnel en ligne avec une adresse IP. Du côté du
destinataire, il apparaît que les notifications sont transmises à
partir d’une source crédible. Pour effectuer l’usurpation de
protocole Internet, un cybercriminel crée d’abord une tentative
de localisation d’une adresse de protocole Internet, puis une
modification et des paquets sont effectués pour montrer que les
paquets sont créés en une multitude initiale.
Comme mentionné ci-dessus, les organisations sont des cibles faciles pour
les cybercriminels, cette situation peut causer des dommages
opérationnels, augmentant la probabilité d’avoir un impact négatif sur
l’environnement, la santé et la sécurité au travail, les installations et leur
environnement.
3. Les facteurs de l’afflux des cyberattaques chez les entreprises

Selon Lehu (2018) dans son article « Cyberattaque : la gestion du risque
est-elle encore possible », La cyberattaque représente l’une des crises les
plus graves qui menacent les entreprises.
Sans aucun doute, les entreprises sont l’entité dont les informations à
caractère sensible sont le plus clairement quantifiables sur le plan
économique, car directement liées à leur volume d’activité. La croissance
des réseaux sociaux et des transactions électroniques commerciales ont
conduit les criminels à concentrer l’un de leurs principaux objectifs sur le vol
d’informations confidentielles de l’entreprise, compromettant sa position
concurrentielle ou, dans la plupart des cas.
1. Les sources de cyber risque

L’IFC considère le cyberrisque comme des risques opérationnels pour les
actifs informationnels et technologiques qui ont des conséquences affectant
la confiance, la disponibilité ou l’intégrité des informations ou des systèmes
d’information. Dans ce contexte, le cyberrisque est catégorisé comme un
risque opérationnel, un risque qu’une entreprise peut subir au cours de ses
opérations commerciales. Cela soulève la question de savoir ce qu’est un
risque opérationnel ? Le risque opérationnel est défini comme « les risques
de pertes dues à l’inadéquation ou à la défaillance de processus internes
dues au personnel ou aux systèmes ainsi que celles dues aux événements
extérieurs » (définition officielle donnée par le comité de Bâle, cité
dans Lamarque & Maurer (2009).
Moshaigeh (2019) a récemment décomposé et classé le cyber-risque en

quatre classes basées sur des entreprises de toutes tailles. Les quatre
classes sont les attaques contre les systèmes physiques, les attaques
d’authentification et de privilège, le déni de service et le contenu Internet
malveillant. Meurant
Les organisations dépendent de plus en plus d’écosystèmes dotés de

technologies complexes pour les activités clés : interagir de nouvelles
façons avec les clients et les tiers et utiliser les informations pour améliorer
la prise de décision et augmenter la portée et les profits. Alors que les
cyberattaques deviennent plus fréquentes et plus graves, les dirigeants
constatent que les initiatives basées sur la technologie ouvrent la porte aux
cyber-risques.
À mesure que la prolifération des technologies de l’information, la

facilitation croissante de l’accès à distance aux ordinateurs d’entreprise et
le risque correspondant de cybermenaces ont augmenté, l’attention portée
à ces problèmes s’est également accrue. Les menaces posées par chaque
source de risque peuvent être différentes et peuvent souvent nécessiter
des approches différentes.
Par ailleurs, il est important de noter que les cyber-risques ne se contentent

pas de souscrire aux menaces technologiques ou aux cibles des
cybercriminels. Sa matérialisation n’a pas toujours pour but de générer ce
type d’impact ou d’obtenir des avantages économiques ou financiers.
Certaines attaques sont motivées, par exemple, par un acte de vengeance,
le licenciement d’un employé, le frisson de causer du tort ou le défi
personnel et intellectuel d’une attaque réussie.
1. Les sources internes

Ironiquement, un risque très élevé de cybercriminalité provient de l’intérieur
plutôt que de l’extérieur de l’organisation. Bien qu’un employé puisse être le
plus grand atout de l’entreprise, les employés sont constamment exposés à
de grandes quantités d’informations confidentielles et, par nécessité, se
voient confier l’inventaire et la propriété des informations exclusives de
l’entreprise. Parfois, la tentation du gain individuel peut être trop grande. Ou
encore, un employé qui a passé du temps à développer les informations
importantes de l’entreprise peut estimer qu’il a droit à cette intelligence en
raison du temps qu’il a consacré à la recherche et au développement de
celles-ci. Par conséquent, une entreprise peut être exposée au vol de
données ou de propriété intellectuelle de l’intérieur plutôt que de l’extérieur
(Dupont (2010).
Le vol de données est le terme utilisé lorsque des informations sont

illégalement copiées ou prises auprès d’une entreprise ou d’un autre
individu. Le vol de données, de formules et d’informations de processus par
les employés peut compromettre l’entreprise aussi facilement qu’une
attaque de vol de données externes. En raison de leur position privilégiée,
l’employé a plus de capacité à agir en tant qu’auteur puisqu’il a déjà une
autorisation de confiance ou un mot de passe dans le cybersystème de
l’entreprise pour des motifs légitimes, une autorisation qu’ils pourront
ensuite retourner contre leur employeur (Dreyer (2019).
Une variable interne importante du cyber-risque perpétré en interne est le

fait d’avoir des employés mécontents. Ces individus peuvent être motivés
par la vengeance et tenteront de saboter ou de détruire des logiciels ou des
bases de données d’entreprise, privant ainsi l’entreprise de leurs biens.
Cette forme plus malveillante de cyber-risque doit être traitée de manière
proactive en mettant en œuvre une initiative de sécurité d’entreprise bien
conçue, qui comprend des politiques telles que la modification des mots de
passe avant le licenciement des employés et l’application d’exigences
strictes en matière de sécurité des mots de passe. La tenue d’un journal
des accès des utilisateurs à tous les systèmes de l’entreprise peut
également constituer une mesure préventive contre la cybercriminalité
(Islam, S., Farah, N., Stafford, T. (2018 p.5).
2. Les sources externes

La possibilité de faire des affaires sans fil (connue sous le nom de
commerce mobile ou m-commerce) est révolutionnaire et prend de
l’importance et les entreprises modifient les représentations Web pour
s’adapter à cette nouvelle modalité d’interface. Les vendeurs itinérants
accèdent souvent à distance aux données de l’entreprise à l’aide
d’appareils intelligents mobiles, souvent des téléphones intelligents, de
sorte que le risque de sécurité sans fil en constante évolution est important
pour toutes les entreprises.
Il existe cependant des distinctions importantes entre les risques associés à

l’accès à l’Internet mobile et les risques plus connus du commerce
électronique ou de la cybersécurité. Il existe des défis commerciaux
uniques, des cybermenaces et des vulnérabilités de vol de données
intégrés dans cette nouvelle modalité. La connectivité Internet mobile utilise
un canal de communication différent rendant les transactions d’interface
commerciale plus accessibles à plus d’heures et d’endroits, mais
également un mode de communication physique différent de celui du
commerce électronique. En raison de la mobilité de la communication, une
interface entre les dispositifs d’accès est plus anonyme, ce qui rend plus
difficiles la validation d’une transaction et la sécurisation de la transmission
Internet. Les vols sont également plus difficiles à retracer jusqu’à l’auteur
(Islam, Farah et Stafford (2018 p.6).
Les acteurs malveillants peuvent apprendre beaucoup des liens WiFi non
cryptés à proximité. … si la connexion sans fil n’est pas elle-même cryptée
à l’aide d’une norme moderne …, alors tout attaquant à proximité peut
écouter tout le trafic non crypté circulant entre l’ordinateur et le routeur sans
fil (KPMG, (2017).
La communication mobile diffère par les types d’appareils utilisés, les

langages de développement, les protocoles de communication et même les
technologies utilisées. Ces différences exposent les communications
mobiles à de nouvelles menaces. Un système d’exploitation d’entreprise
mobile fournit l’infrastructure pour exécuter des applications sur les
appareils mobiles intelligents et un accès mobile aux ordinateurs de
l’entreprise. Sans une infrastructure sécurisée pour les appareils mobiles, la
réalisation d’une communication Internet mobile sécurisée ou d’une
communication sécurisée entre les employés et l’employeur peut ne pas
être possible.
2. Les enjeux économiques des cyberattaques pour les

entreprises
Les cyberattaques comme la cybersécurité entraînent pour les entreprises
un coût économique et de réputation, fondamentalement financier. Le
cyber-risque est la possibilité de pertes financières et non financières
causées par d’éventuels événements numériques causés par des agents
internes ou externes de l’entreprise. Parmi les événements, le vol et la
détérioration d’informations essentielles pour l’entreprise ou l’interruption de
l’activité se distinguent. Ce risque est considéré comme un type de risque
technologique et est inclus dans le risque opérationnel.
Motivés par la théorie du marché efficace, Eddé (2020) a utilisé une

méthodologie d’étude d’événements pour mesurer indirectement l’impact
économique des failles de sécurité Internet sur le processus de stockage
des entreprises violées (ainsi que sur les fournisseurs de sécurité Internet).
Selon l’hypothèse de marché efficace, toutes les informations sur les
événements passés et futurs au sein d’une entreprise (ou d’une industrie)
devraient être reflétées dans le cours de l’action, qui lui-même reflète les
croyances des investisseurs sur les flux de trésorerie futurs vers les
investisseurs. Une faille de sécurité peut amener à réfléchir à la
vulnérabilité future ainsi qu’au risque juridique futur, et donc refléter une
évaluation par le marché de l’impact sur les flux de trésorerie différente de
la perte financière déclarée. Par conséquent, les entreprises préfèrent ne
pas paraître vulnérables à leurs clients et concurrents ou à d’autres
prédateurs potentiels. De plus, à l’ère de la gestion par le cours des
actions, les entreprises retiennent également ces informations pour éviter
de faire baisser le cours des actions et de perdre la faveur des
investisseurs (Eddé (2020).
Par ailleurs, il est important de noter que le véritable coût des

cyberattaques ne se manifeste que sur plusieurs années, ce qui complique
grandement une estimation ex ante des coûts potentiels à long terme des
violations.
4. Analyse des grands enjeux de l’atteinte de la cybersécurité

L’acceptation et l’introduction croissantes des technologies numériques, de
la planification militaire et de l’armement ouvrent la perspective d’une
cyberguerre qui, compte tenu de l’interdépendance mondiale des structures
du réseau, affecterait inévitablement et profondément l’économie et les
actifs sociétaux vitaux. L’utilisation hostile de ces technologies pourrait,
pour des raisons factuelles et héritées, ne pas être clairement séparée du
cyberconflit en général et soulève de sérieuses questions de contrôlabilité
et de légitimité, ouvrant ainsi des perspectives de dommages très
inquiétantes. Il y a le dilemme éternel que la croissance exponentielle et le
développement ultra rapide des cybertechnologies et des nouvelles
utilisations sophistiquées sont en conflit avec la croissance et la
sophistication tout aussi exponentielle des options d’attaque (IFACI 2.0
(2020).
L’étonnante croissance quantitative et qualitative des cybersystèmes et des

cyberinfrastructures dans une seconde révolution numérique s’accompagne
d’une croissance égale, voire supérieure, des options d’attaque et donc des
vulnérabilités. Pourtant, les avantages de l’ère numérique ne se
concrétisent que s’il existe une confiance dans le fonctionnement, la
fiabilité, l’intégrité et la sécurité des technologies sous-jacentes : ainsi, la
cybersécurité est devenue un défi mondial.
1. Un taux de piratage accru
Loin d’être un phénomène atypique, les cyberattaques ou la multiplication
des cybermenaces se multiplient. Les attaques les plus fréquentes
survenues au cours de l’année écoulée font référence à la cybercriminalité
et aux fuites d’informations (Eddé (2020 p.14). Concernant le degré de
criticité de ces avis, ceux qui sont considérés comme « élevés » et «
critiques » représentent les deux tiers du total. Ces avis mettent en
évidence l’insécurité des informations stockées ou manipulées ; et il se
manifeste par des avertissements liés aux informations d’identification
intégrées dans les appareils et au manque de cryptage ou
d’authentification, entre autres.
Les cybermenaces peuvent provenir de criminels bien organisés, de pirates

informatiques ou d’un système d’espionnage promu par les pouvoirs
publics. Les coûts directs et indirects causés par les cyberincidents dans le
monde ont récemment été estimés à environ 388 milliards de dollars ; cela
inclut, mais sans s’y limiter, les frais de vol, de fraude, d’extorsion et de
perte de propriété intellectuelle (Eddé (2020 p.10). Outre l’impact financier
direct, de récents incidents ont mis en évidence les graves implications
commerciales des cybermenaces, allant de la chute des cours des actions
et de la perte de valeur actionnariale à la perte de confiance du marché et
des consommateurs.
Figure 1 : Recensement de cyber attaques par type de menace
Source : rapport d’activité 2019 du GIP Acyma
Ces chiffres reflètent incontestablement une tendance. Cependant, il

n’existe aucune base de données publique recensant toutes les
cyberattaques et le décompte de ces dernières est issu d’organismes
privés. De plus, certaines entreprises qui ont subi des cyberagressions ne
les rendent pas publiques soit par choix stratégique délibéré ou par
ignorance même de l’incident. Cette sous-dénonciation impacte le chiffrage
du phénomène, son appréhension globale et sa régulation.
2. Des attaques de plus en plus sophistiquées

Certains types de cyberattaques deviennent de plus en plus ciblés et
sophistiqués au fil du temps, ce qui rend plus difficile pour les entreprises,
les organisations et les gouvernements de les détecter et de les
vaincre : « A ce jour, les sociétés de cybersécurité qui tentent de
comprendre et de décrypter les causes des cyberattaques par ingénierie
sociale font fausse route, tout en évoquant l’origine « humaine » du
problème, elles font une erreur de diagnostic et de thérapeutique » (Teboul,
B. (2022)p.15). Les attaques, techniques et approches malveillantes
évoluent en permanence afin d’échapper aux forces de l’ordre, de
contourner les progrès de la prévention et de la protection de la sécurité
numérique et de mieux s’adapter aux vulnérabilités de leurs cibles.
Cependant, les attaquants essaient d’abord les méthodes d’attaque

anciennes et bon marché, et ne gagnent en sophistication que lorsque les
gains en valent la peine. De nombreuses entreprises, en particulier les plus
petites, tombent dans de simples attaques de base, car elles manquent de
la protection de base et d’une “hygiène” numérique minimale. Des
approches plus sophistiquées ont tendance à cibler les entreprises qui ont
déjà atteint ce niveau de référence. Les attaques de phishing, de déni de
service et de ransomware continuent d’être répandues dans le paysage
numérique (De Werra et Benhamou (2020 p.23).
3. Une violation du cyberespace de l’entreprise

« Conçu par l’homme, le cyberespace est à la fois porteur de croissance et
d’innovation tout en demeurant profondément vulnérable face à des risques
inédits, et en proie à l’exploitation malveillante de ses failles et
vulnérabilités » (Poupard, G. (2018).
Ce qui différencie le risque cyber des autres risques est essentiellement

son territoire d’application, puisque les risques cyber surviennent dans le
cyberespace, et se propagent également à travers les réseaux connectés à
Internet, à une vitesse jamais vue auparavant, ce qui en fait un risque aux
caractéristiques volatiles, sans frontières définies et incorporels, pour
lesquels les pertes sont généralement difficiles à quantifier. Le cyber-risque
est un risque de nature stratégique et opérationnelle pour les entreprises,
qui affecte leur fonctionnement au moment où l’information est violée dans
sa confidentialité, son intégrité et sa disponibilité : « Le terme cyberespace
est une abréviation commode pour une infrastructure complexe –
probablement l’infrastructure la plus complexe jamais créée – composée de
millions d’appareils mondialement interconnectés. Une analyse ou une
politique basée sur une abstraction comme le cyberespace peut aggraver
le risque d’inexactitude » (Lewis, J. (2014).
Ainsi, toutes les entreprises connectées à Internet, que ce soit uniquement

via un portail virtuel ou un vaste réseau de serveurs, sont sujettes aux
cyberattaques.
Au-delà de l’impact économique, qui peut être conséquent et même mettre
en péril la viabilité de l’entreprise, les conséquences des cyberattaques
peuvent également être dramatiques pour l’entreprise en termes de
réputation et d’image de marque. Les entreprises sont donc exposées à
des pertes dans leurs capacités opérationnelles, un manque d’accès à
leurs propres informations pertinentes, une atteinte à la valeur de la
marque, etc.
Naturellement, c’est l’étendue du cyberespace mondial, qui crée des zones

de contrôle qui se chevauchent pour des acteurs nationaux ayant des
approches juridiques et culturelles différentes et des intérêts stratégiques
différents (Dejean, et Sartre (2015) p.29). Les pays du monde entier sont
devenus suffisamment dépendants du cyberespace pour les
communications et le contrôle du monde physique ; d’une manière dont il
est définitivement impossible de s’en séparer. Par conséquent, les tâches
et fonctions de sécurité de chaque pays sont de plus en plus affectées par
le cyberespace (Delia (2014). p. 240-260).
De la conception scientifique, le cyberespace est défini comme étant un

espace ayant un lien avec le monde du web et de l’internet ou encore le
monde du multimédia. Dans ce monde immatériel, des échanges ainsi que
des transferts des données et informations numériques ont lieu entre de
nombreux acteurs. Si, au début, la conception d’un tel espace reposait
seulement dans ces échanges, il est devenu, au fil de l’évolution du temps,
un espace très complexe et surtout très étendu. Toutefois, octroyer une
définition précise de ce terme reste très ardu, car il est constitué d’un
ensemble d’éléments matériels qui opère dans un monde plutôt immatériel.
Mais, dans une appréciation technique du terme, nous pouvons concevoir
le cyberespace comme étant une zone où se joignent les informations et
services qui émanent de partout dans le monde et qui sont interconnectés
entre eux. C’est dans cette zone que les acteurs se communiquent entre
eux et cela même à distance. D’où la qualification d’espace virtuel.
Par rapport à la considération du cyberespace comme étant un monde à

portée d’un clic, la sécurité de cet espace reste une question d’une grande
importance. En effet, le fait que cette zone soit une récente innovation de
l’homme constitue encore une entrave à l’établissement des normes et des
systèmes de régularisation de tout usage : « En dépit de la démocratisation
des sensibilisations, il semblerait en effet que l’hygiène informatique
réclamée pour chacun ne soit pas toujours respectée » (Weber (2017). Une
situation qui rend encore très ardue la sécurisation des actions qui s’y
effectuent ainsi que les usagers qui l’utilisent. Toutefois, l’intention de
chaque acteur (entreprise, individu, État) qui en fait usage se consacre sur
l’assurance de leur sécurité et aussi celle des actions qu’ils y
entreprennent. À travers de cette intention, l’idée de la cybersécurité a vu le
jour. Face aux nombreux risques ainsi qu’à la montée incessante des
principales menaces du cyberespace, il est plus qu’important de mettre en
place un système permettant de sécuriser la zone. D’où la formation du
concept et le dispositif de la cybersécurité.
Ce concept de cybersécurité est devenu un défi pour de nombreuses

entreprises pour se protéger contre les éventuelles menaces susceptibles
de nuire à leur activité dans le monde du cyberespace. Par rapport à la
définition de ce concept, elle est assez large et très variée, mais l’esprit de
la conception reste la même. Dans l’engagement de chaque acteur
concerné par les menaces, la mise en place d’un bon outil « la
cybersécurité » est plus que primordiale. De ce fait, la cybersécurité est en
quelque sorte une initiative informatique prise pour assurer le bon
fonctionnement ainsi que la sécurité d’une activité dans le monde du
cyberespace.
5. Des risques qui peuvent provenir de l’erreur humaine

La mesure de la prévalence et des coûts des incidents numériques reste un
défi en raison du manque de normes internationales et de données
comparables. Les données disponibles doivent être interprétées avec
prudence, car soit les entreprises ne comprennent pas leur exposition réelle
au risque ; ou ne détectent pas les incidents ; ou ne mesurent pas leur
impact de manière standard ; et pourraient ne pas les signaler du tout.
Néanmoins, lorsqu’elles sont interprétées avec soin, certaines tendances
émergent des preuves (Hazane (2016). p.12-16).
Par exemple, des vulnérabilités surviennent lorsqu’un administrateur

système néglige de mettre en place des contrôles de sécurité pour limiter
l’accès aux données de l’entreprise publiées sur une plate-forme cloud
(mauvaise configuration), ou la menace augmente lorsque des données
sensibles sont envoyées au(x) mauvais destinataire(s) comme la saisie
semi-automatique ” À : » ou « Cc : » dirige un e-mail vers la mauvaise
partie (erreur de livraison). Dans d’autres cas, il peut s’agir d’un faux pas de
publipostage où les adresses ne sont plus associées au contenu correct.
Ces erreurs, y compris une administration incorrecte, l’exposition
accidentelle d’hôtes ou une mauvaise configuration des protocoles et des
contrôles, peuvent être liées à un passage rapide au cloud et à un manque
général de compréhension de la sécurisation des environnements et des
services cloud (Islam, Farah, et Stafford (2018). p.11).
6. Défis de sécurisation du système et gestion de risque

En analysant le panorama des cybermenaces et l’impact sur les entreprises
aujourd’hui, il est essentiel de sensibiliser et de renforcer certains sujets
d’affaires qui sont de la plus haute importance pour les décideurs des
organisations de différents secteurs. Selon Thierry et Schafer (2019) « si
les objectifs varient peu (neutralisation des moyens de communication,
d’approvisionnement, désorganisation, etc.), l’identification de la menace
est quant à elle toujours problématique et place les acteurs chargés de la
défense des réseaux dans une position difficile pour la caractériser et y
répondre efficacement » p.10.
Le monde des affaires est toujours sur le point d’aborder les problèmes liés
à la cybersécurité de la bonne manière et ce fait rend très difficile l’adoption
d’une bonne cyberstratégie. Cela se voit clairement dans la façon dont les
entreprises mesurent les risques et l’impact qu’aurait une cyberattaque, car
bien souvent les entreprises ne se concentrent que sur les coûts directs qui
y sont associés, alors qu’elles devraient également prêter attention aux
coûts intangibles liés à ces attaques (Kempf (2015 p. 153).
Face à la hausse spectaculaire des cybermenaces, les entreprises doivent

absolument adopter de bonnes pratiques. Bien qu’il existe un certain
nombre de défis informatiques, il se montre important dans cette section de
présenter ceux qui sont les plus importants pour les entreprises.
 Sécurité
L’un des principaux défis auxquels l’informatique doit faire face aujourd’hui
est la sécurité ou la cybersécurité. La multitude de données, d’identités et
d’informations personnelles que nous partageons et traitons
quotidiennement est si élevée que sa protection est devenue un défi,
compte tenu de la valeur extrêmement élevée de ces actifs pour toute
organisation.
 Accessibilité
L’accessibilité et la disponibilité des données sont cruciales, en particulier
pour les profils ayant des responsabilités plus importantes au sein d’une
organisation. Rendre les données accessibles à toutes les parties avec
interopérabilité serait facile. Cependant, malgré la connaissance des
grands avantages qu’il peut offrir, il reste encore de nombreuses tâches à
accomplir par l’informatique, afin de l’étendre à davantage d’industries et
d’entreprises.
 Des réseaux solides

Garantir des réseaux internes solides, résilients et évolutifs est un aspect
très important et un grand défi informatique en même temps. Non
seulement les solutions doivent être planifiées pour répondre aux besoins
actuels, mais elles doivent toujours être tournées vers l’avenir et vers les
avancées technologiques futures, de manière à ce que l’obsolescence n’ait
pas sa place dans l’organisation.
 Système d’intégration
Assurer la bonne intégration des différents services, écrits tour à tour dans
des technologies ou des langages différents, est un défi de mise en œuvre
pour l’informatique dans de nombreuses organisations.
 Réduction des coûts

La réduction des coûts est un aspect fondamental pour pouvoir extrapoler
les progrès technologiques continus à la société, aux entreprises et aux
industries. Face à cela, les ingénieurs informatiques doivent continuer à
analyser et développer de nouvelles solutions technologiques en un temps
record.
Face à ces situations, certaines actions sont mises en place dans les
entreprises pour faire face ou se prémunir des cyberattaques. Parmi cela, il
y a les moyens de défense comme la sécurisation des données, les
vigilances, la résilience ; et les moyens pour maitriser les modes
opératoires de la cybercriminalité.
2. Cybersécurité des TPE et des PME

Il ne fait aucun doute que les petites et moyennes entreprises (PME) sont
considérées comme un élément fondamental de la croissance et de la
stabilité des économies du monde entier. Il faut rappeler que tout type
d’entreprise dirigée par moins de 250 employés est considéré comme une
PME. Les technologies de l’information (TI) sont devenues une exigence
fondamentale des PME en raison des avantages qui peuvent être générés
en s’appuyant sur ces technologies., De plus, les PME, comme d’autres
entreprises, ont été contraintes d’adopter le commerce électronique afin de
prospérer dans l’environnement économique concurrentiel actuel.
Pourtant, les PME augmentent sans le savoir leurs menaces de

cyberattaques qui augmentent les vulnérabilités en adoptant divers moyens
informatiques. Les tendances de vulnérabilité informatique les plus
courantes à l’heure actuelle sont la collaboration sociale, l’expansion de
l’utilisation des appareils mobiles, le déplacement du stockage des
informations vers le cloud, la numérisation des informations sensibles, le
passage aux technologies de réseau intelligent et l’adoption d’alternatives
de mobilité de la main-d’œuvre.
Dans cette section, nous définirons et analyserons les types de
cyberrisques auxquels la plupart des PME et TPE sont confrontées, ainsi
que la répartition des cyberrisques pour ces types d’entreprise :
Par définition, la cyberattaque constitue le fait de mettre en place un acte

de malveillance envers des systèmes informatiques. Plus explicitement,
c’est une atteinte à des systèmes informatiques effectués dans un but
malveillant. L’attaque est normalement réalisée dans le cadre du
cyberespace et tend à la perturbation voire la destruction les données ou
l’infrastructure informatique en question : « La dépendance de la société
moderne vis-à-vis des systèmes informatiques complexes pour les
fonctions centrales du gouvernement et de l’économie, l’interconnexion de
ces systèmes entre eux et avec les fonctions qu’ils soutiennent, signifient
qu’une cyberattaque peut avoir des conséquences en cascade affectant les
activités essentielles de tout un panel de secteurs et de juridictions »
(Kello (2014). p. 139 à 150). De manière encore plus méthodique, « la
cyberattaque est une agression très massive lorsqu’il s’agit d’attaques
informatiques génériques visant les entreprises, les professions libérales
ou les particuliers, essentiellement à des fins de gain financier par
l’escroquerie, le vol ou le chantage » (Bannelier et Christakis, (2017 p.3).
Elle peut aussi être qualifiée d’acte offensif envers un dispositif naviguant
dans le cyberespace. Qu’il s’agit du système, de l’infrastructure ou encore
les réseaux.
Les cibles de cette pratique préjudiciable sont plus de nombreux acteurs

opérant dans le cyberespace. Cela implique les entreprises, les individus et
aussi les institutions étatiques. Cependant, dans notre domaine de
recherche, nous allons nous concentrer sur les entreprises. Ce sont ces
dernières qui sont les premières victimes des cyberattaques. Parmi elles,
on y retrouve les petites et moyennes entreprises (PME) et les très petites
entreprises (TPE). En ce qui concerne les PME, ce sont les entreprises
dont les chiffres d’affaires n’excèdent pas les 50 millions d’euros avec un
nombre d’employés assez moyens (aux environs de 250 personnes). Et
pour ce qui est des TPE, il s’agit des ensembles des entreprises qui
occupent quelques salariés (environ une dizaine de salariés) et avec un
chiffre d’affaires annuel tourne autour de 2 millions d’euros. Plusieurs
raisons peuvent expliquer l’acharnement de ces espions sur ce genre
d’entreprise.
Même s’il faut admettre que certaines grandes entreprises sont également
des victimes, surtout ces dernières années. D’ailleurs, en 2021, nous
pouvons en citer quelques-unes qui ont été les plus marquantes. Le cas de
CNA Financial (une entreprise assureur des États-Unis) peut en être un
exemple parfait de cyberattaque. En effet, suite à l’attaque qualifiée de
« ransomware » que cette entreprise a subie, des arrêts de service ainsi
qu’un paiement de rançon équivaut à 40 millions de dollars ont eu lieu. Un
cas presque similaire fut découvert avec l’assureur français « AXA » qui lui
aussi était victime de piratage et vol de données. Lors de ce piratage,
l’entreprise a subi une perte financière de 5,5 milliards de dollars. Ajouté à
celle-ci, d’autres entreprises françaises sont également concernées comme
SVI assurance, l’Arca Assurance, AssurOne ou encore l’Assu2000. Elles
étaient toutes victimes de la même attaque (rançongiciel). 2
Un autre cas qui retient aussi notre attention est celui qu’a connu la société
Apple avec la sortie de leur produit iPhone X en 2017. L’instauration du
système de reconnaissance faciale très complexe et sophistiqué dans ce
produit a voulu témoigner l’assurance de la cybersécurité. Toutefois, à
travers l’ingéniosité d’une entreprise vietnamienne (Bkav), ce système a été
dupé. Ce qui constitue une attaque envers la société Apple (Meziat et
Guille (2019 p.1).
1. Les principaux risques cyber pour les PME

Décrire les menaces de cybersécurité dans les PME pourrait être une
solution clé pour les aider à comprendre le concept principal de
cybersécurité. Selon Hazane (2016), « Si la plupart des grandes
entreprises sont désormais confrontées aux principales menaces
numériques, à savoir la déstabilisation, l’espionnage ou le sabotage [9], les
PME/TPE sont surtout confrontées à de la cybercriminalité » p.16).
Pourtant, de nombreux signes indiquent que les PME sous-estiment les
cybermenaces en n’utilisant pas de mesures de sécurité efficaces (Hazane
(2016) p.14). La plupart des experts ont admis que les cybercrimes seraient
la plus grande menace pour toute entreprise, tandis que les PME estiment
qu’elles ne sont pas vulnérables en raison de leur taille.
Les pirates informatiques ont augmenté de façon exponentielle le nombre

de cybermenaces ces dernières années. Cependant, ils ont tous un
dénominateur commun : ils sont fréquents et leur impact économique peut
être dévastateur pour les entreprises. Certains des principaux cyberrisques
pour les PME sont : les ransomwares, le phishing, les attaques DDOS, les
logiciels publicitaires ou le piratage Wi-Fi. Cependant, ils ne sont pas tous
également susceptibles de menacer la structure d’une entreprise.
Par exemple, l’attaque DDOS est plus fréquente dans les PME et le e-
commerce, tandis que les attaques de rançongiciels (détournement de
données) paralysent généralement les grandes entreprises du secteur de
l’énergie ou de la finance ou même les organismes gouvernementaux pour
demander plus tard de grosses sommes d’argent pour la rançon (Lagare
(2021).
Tableau 2 : Les cyber risques pour les PME
Types de risques cyber Caractéristiques
Les attaques contre les systèmes physiques comprennent les attaques matériell
Attaques contre les
et de disques durs. D’autres attaques incluent les attaques de terminaux non pr
systèmes physiques
serveurs, le piratage du réseau interne, etc.
Attaques d’authentification Les attaques d’authentification et de privilège incluent des exigences de mot d
et de privilège privilèges élevés et une dérive des privilèges. Cela se produit généralement en
Le déni de service comprend les catastrophes naturelles telles que les interrupt
service ciblé tel que l’épuisement de la bande passante, l’attaque de service vu
Déni de service
une dépendance excessive à une personne ou à quelques individus. D’autres ty
contre les cyberincidents et le manque de documentation appropriée.
Contenu Internet Le contenu Internet malveillant comprend l’ingénierie sociale telle que les atta
malveillant virus, le cheval de Troie et les virus inappropriés entraînés par des téléchargem
Source : adapté de Bannelier et Christakis (2017)
Cependant, en réalité, les PME sont une cible potentielle et croissante pour
les cybercriminels. En raison de l’augmentation du nombre de
cyberattaques, la cybersécurité devient une préoccupation croissante pour
les propriétaires de petites entreprises. Cela renforce le fait que les
cybercriminels ne font pas de distinction entre les grandes entreprises et
les PME, tant que c’est rentable et lucratif. Ils cibleront toute entité qui
possède des données précieuses et un système de sécurité faible. Les
exemples incluent les informations de carte de crédit et les numéros de
sécurité sociale. Par conséquent, les informations que les PME détiennent
actuellement ont une valeur considérable pour les cybercriminels.
À mesure que les PME et les TPE intègrent les nouvelles technologies
dans leurs activités, leur exposition au cyberrisque augmente. Les
entreprises doivent développer une compréhension de ce qui est le
cyberrisque et de l’étendue de leur exposition récente en ce qui concerne
leur secteur d’activité. Pourtant, plus de la moitié des PME ne réalisent pas
qu’elles sont mal protégées contre les cybermenaces. Si certaines PME
sont conscientes de ces menaces, elles ne pensent pas que des mesures
préventives supplémentaires doivent être prises pour se protéger : « les
PME se pensent trop souvent à l’abri du danger car elles ont déjà pris des
mesures d’ordre technique (logiciels, pare-feu…) qu’elles estiment, à tort,
imparables. Cela va prendre encore du temps pour que le réflexe cyber-
assurance s’impose au sein des petites entreprises malgré mon rôle de
conseil. Il est regrettable qu’une police d’assurance soit souscrite après
que l’incident ait eu lieu, c’est pourtant mon quotidien » (Senat 2022)
2. Les cyberattaques ayant le plus d’impact sur les PME/TPE

Une étude menée par l’IFOP en 2021 a mis évidence les grandes
cybermenaces avec un fort impact sur les PME/TPE :
 Adware, l’un des cyber-risques les plus utilisés par les pirates.
Ce sont des programmes ou des fichiers qui sont installés sur
un système numérique avec ou sans le consentement de
l’utilisateur pour afficher de la publicité de manière incontrôlée.
Ils présentent un risque moindre que les autres, mais, dans la
plupart des cas, il est difficile de s’en débarrasser ;
 Attaque DDOS : les attaques par déni de service distribué sont
généralement menées contre des entreprises ayant des
modèles commerciaux numériques. Ils sont plus difficiles à
détecter à temps que d’autres comme les adwares, les
malwares ou le phishing. Les mesures de sécurité sont
comparables à l’installation d’une « armure » autour de
l’infrastructure du site Web ;
 Piratage Wi-Fi : cela se présente généralement à travers des
problèmes de vitesse avec le réseau, cela est peut-être dû à
une vulnérabilité du réseau Wi-Fi. Cette attaque compromet la
sécurité des PME, car elle permet la visibilité des documents
sur les appareils connectés.
3. Comment les PME/TPME se protègent-elles ?
Une préoccupation constante dans la littérature a été le manque de sérieux
dans les manières habituelles des PME de faire face aux menaces de
cybersécurité. Par exemple, les PME ne sont pas apparues concernées par
la pression normative de la communauté de la cybersécurité, comme à
travers les pratiques professionnelles. Par conséquent, les personnes
autorisées participent généralement inconsciemment à des pratiques à
risque qui pourraient affecter la sécurité, la confidentialité, les données et
les mesures techniques de prévention en vigueur. Comme le souligne une
autre étude, la plupart des experts en cybersécurité ont supposé que les
pratiques de sécurité actuelles utilisées par les PME pourraient être un
obstacle à l’efficacité en raison du manque d’engagement des PME et des
connaissances qui seraient acquises auprès des grandes entreprises
(Bpifrance (2017). p.15).
En outre, l’externalisation des installations telles que le cloud serait une

solution clé pour les PME ; cependant, les avantages de l’externalisation ne
répondraient jamais au besoin de bonnes pratiques (De Werra et
Benhamou (2020 p.7). Il a été avancé que davantage d’activités de
formation augmenteraient les connaissances, mais cela ne se refléterait
pas nécessairement dans les bonnes pratiques de cybersécurité. Ainsi, s’il
n’y a pas de changements réels dans les pratiques et les politiques pour
résoudre le problème, les PME resteront une cible privilégiée de ceux qui
cherchent à tirer profit de la cybercriminalité (De Werra et Benhamou (2020
p.4-5).
4. La cyber-sécurité reste encore un défi de taille pour les

PME/TPE
De Werra, J., Benhamou, Y. (2020) mentionnent que les organisations
investissent plus que jamais dans la sécurité de l’information. Selon Kremer
et al. (2019, p.2), il y a une augmentation des cyberattaques ciblant les
PME, qui manquent également de mécanismes de défense suffisants,
principalement en raison de la limitation des ressources financières et d’une
pénurie de personnel de sécurité qualifié. De nos jours, les PME dépendent
fortement des systèmes d’information, ce qui signifie qu’elles sont
considérées comme des cibles viables par les cybercriminels. Ceci est
troublant puisque les systèmes organisationnels fonctionnent dans une
large mesure dans un environnement socio-technique. Coutant
(2022) postule que dans cet environnement, les systèmes interagissent
avec les organisations, les humains et d’autres systèmes en partageant
diverses tâches et informations. De plus, les auteurs précisent que le
contexte dans lequel ces systèmes fonctionnent, la divulgation non
autorisée d’informations peut être le résultat d’une erreur humaine que les
méthodes de sécurité traditionnelles ne prennent pas en compte de
manière adéquate. En réalité, les contre-mesures envisagées doivent
commencer par une analyse exhaustive du contexte sociotechnique afin de
faire face pleinement aux menaces techniques, sociales et
organisationnelles (Coutant (2022).
L’Agence de l’Union européenne pour la cybersécurité a mené des

entretiens avec des PME européennes pour formuler des incidents réels
fondés sur des preuves qui se sont produits pendant la pandémie et tirer
les leçons apprises pour les surmonter en termes de cybersécurité.
Les cyberincidents les plus courants identifiés étaient les attaques de
ransomwares, les vols d’ordinateurs portables, les attaques de phishing et
la fraude à la direction. Ce dernier est un leurre destiné à inciter un membre
du personnel à agir sur un e-mail frauduleux de son PDG et à demander
généralement qu’un paiement urgent soit effectué à un fournisseur afin de
respecter un délai de projet.
La recherche et l’expérience de la vie réelle montrent que ce sont les

organisations qui gèrent les cyberincidents sont beaucoup plus efficace que
celles qui ne planifient pas ou n’ont pas les capacités dont elles ont besoin
pour faire face correctement aux cybermenaces.
Par ailleurs, force est de constater que les cyber risques sont des défis
importants pour les PME et TPE, car les cyberattaques peuvent avoir des
conséquences importantes sur leurs activités : atteinte à la réputation, la
perte de clients, le retard du client, la capacité de l’entreprise à fonctionner,
le temps de récupération, la perte d’argent et d’économies et la faillite de
l’entreprise.
Également comme indiqué par De Werra et Benhamou (2020, p.7) la

gestion des risques au sein des PME est généralement considérée comme
inadéquat, en raison de divers facteurs. Les auteurs postulent que la
direction est rarement suffisamment préparée et éduquée au processus de
gestion des risques. De plus, De Werra, J., Benhamou, Y. (2020) suggèrent
que les dirigeants des PME apprennent généralement par l’expérience, ce
qui signifie que la théorie est généralement ignorée. Il y a également un
manque de soutien pour les PME lorsqu’il s’agit de mettre en œuvre un
programme destiné à la gestion de la sécurité, en particulier lorsqu’il s’agit
de rechercher des cadres et des normes couramment utilisés.
En outre, force est de constater que les normes disponibles pour la gestion
des risques aujourd’hui n’incluent pas de prise en charge des situations
spécifiques rencontrées par les PME, ce qui entraîne une différence entre
ce qui est énoncé dans la théorie et l’exécution. Un autre défi que les PME
doivent prendre en compte est le manque de ressources pour mettre en
œuvre correctement un processus de gestion des risques.
 La question de sensibilisation
Sous-estimer la sensibilisation à la cybersécurité entraîne des risques
considérables pour tous les actifs de l’organisation. Les PME souffrent
probablement d’un manque de connaissance des types de cyberattaques,
ce qui affecte significativement leur sensibilisation aux cybercrimes. Par
conséquent, les actions des employés pourraient finalement affecter le
succès ou l’échec des initiatives de cybersécurité de l’entreprise. Les PME
doivent être conscientes des conséquences de la cybersécurité et essayer
d’y faire face, car cette prise de conscience pourrait potentiellement les
amener à adopter les bons comportements (Revue de la Gendarmerie
Nationale (2019, p.19).
Illustration 1 : Les enjeux des cyber attaques pour les PME / TPE
Source : CDI (2018), p.7
1. Atteinte à la réputation
Pour se développer sur long terme, les PME ont besoin d’une solide
réputation. Selon l’enquête KPMG (2021), les PME ne pensent pas que les
cyberincidents affecteront leur réputation. Cependant, les cyberincidents
ont un impact sur leur réputation. Par ailleurs, une enquête menée par
KPMG démontre que les tiers des PME qui ont souffert de cyberviolations
ont porté atteinte à leur réputation. Dans cette enquête, KPMG a défini
l’atteinte à la réputation comme la perte de clients, la capacité d’attirer de
nouveaux employés et la capacité de gagner de nouveaux contrats.
2. Perte de clients
Pour toutes les entreprises, les clients sont la clé fondamentale du succès.
Selon Hazane (2016), un client sur dix cessera de faire affaire avec
l’entreprise qui a subi des cyberattaques, et un client sur quatre lui fera
moins de commerce. De même, dans l’enquête menée par KPMG, 4
consommateurs sur 5 se demandent quelles entreprises ont accès à leurs
données et si ces données sont sûres. Par conséquent, toute cyberviolation
pourrait réduire considérablement la confiance des clients dans l’entreprise
et peut conduire à une augmentation potentielle de la perte de clients.
3. Retard du client et réduction de la capacité d’exploitation de

l’entreprise
L’incapacité à fonctionner en raison du manque d’accès à la base de
données de l’entreprise peut conduire à la frustration du client et de
l’organisation elle-même (Hazane, 2016). D’autres conséquences telles que
le fait de payer quelqu’un d’autre pour résoudre le problème et d’éventuels
frais juridiques empêchent également le bon fonctionnement de l’entreprise.
Le temps de récupération a une corrélation directe avec le retard client et

l’interruption de l’activité. Plus il faut de temps pour revenir à la normale,
plus il faut de temps aux clients pour faire des affaires avec l’entreprise, ce
qui à son tour crée une interruption d’activité plus longue. Ce cycle aura
également un impact indirect sur la réputation de l’entreprise et la fidélité
des clients (Hazane, 2016).
4. Perte d’argent
La cible la plus courante des cyberattaques est les sources de liquidité. Ces
dernières années, les PME sont confrontées à une augmentation
considérable du montant d’argent volé sur leur compte bancaire en raison
de cyberattaques (IFACI 2.0 (2020 p.14). De plus, même si les PME
peuvent porter plainte pour fraude et se faire rembourser leurs pertes, le
préjudice causé à leur entreprise a déjà été fait.
5. Échec de l’entreprise
Il n’y a pas une seule cause de cyber attaques directement liée à l’échec
d’une entreprise, mais plutôt une combinaison des causes énumérées ci-
dessus. Une combinaison de dommages à la réputation, de perte de
clients, de retards, de la capacité à fonctionner, de temps de récupération
et de perte d’argent alimente le fait qu’une grande majorité des PME risque
de fermer leur porte dans les six mois suivant une cyberattaque (IFACI 2.0
(2020).
Figure 2 : Les impacts possibles des cyberattaques sur les PME
Source : Sondage OpinionWay pour le CESIN (2018, p.3)
Selon cette illustration, non seulement l’impact commercial est énorme,

mais il y a de nombreux défis à surmonter. Le risque cyber auquel les PME
sont actuellement confrontées est très complexe. En raison de la
complexité inhérente à chaque catégorie, il est difficile pour une PME de
maîtriser les concepts et d’utiliser efficacement ces connaissances pour
protéger l’entreprise d’une cyberviolation.
Un autre niveau de complexité est que les PME/TPE sont présentes sur de
nombreux types de secteurs d’activité, tels que les services financiers, les
magasins de détail, les soins médicaux, les administrations, la technologie
et les logiciels, l’éducation et d’autres groupes plus petits. Différents
secteurs d’activité des PME sont exposés à différents types de
cyberrisques et à différentes fréquences de cyberattaques. Les données
volées concernent généralement des numéros de sécurité sociale. La perte
de ces numéros critiques peut souvent conduire à des vols d’identité. Ainsi,
un autre défi auquel les PME sont confrontées est d’établir un plan de
gestion des cyberrisques adapté aux caractéristiques de leurs secteurs
d’activité uniques.
5. Résilience des TPE-PME à ces risques

La cyber-résilience peut être considérée comme une forme physique
numérique. C’est la capacité de garder en sécurité, les données et les
appareils en ligne, quelles que soient les menaces qui se présentent. Plus
qu’une simple défense contre une seule menace, il s’agit d’une protection
de bout en bout contre les cybermenaces et la perte de données.
La cyber-résilience est un concept plus large couvrant la continuité des

activités, la sécurisation des processus commerciaux critiques,
l’identification des vecteurs de menace potentiels, la gestion des risques, la
minimisation de la gravité des attaques et la mise en œuvre de procédures
pour résister aux incidents de cybersécurité. La cyber-résilience permet à
une organisation de poursuivre ses activités commerciales normales sans
aucune interruption pendant et après des événements perturbateurs tels
que des cyberattaques ou des défaillances techniques. Lorsqu’elle est bien
faite, la cyber-résilience permet à une organisation de rester opérationnelle
malgré des cyber-perturbations importantes (Swiss (2020).
Les PME/TPE ont besoin de capacités de cyber-résilience. Cependant, en

raison de leurs ressources limitées, elles n’ont généralement pas de
personnel dédié à l’opérationnalisation de la cyber-résilience et manquent
donc de l’expérience nécessaire à la mise en œuvre de cette discipline.
Pour aider ces catégories d’entreprise dans leur opérationnalisation de la

cyberrésilience, la littérature actuelle propose plusieurs types de solutions,
mais ces solutions sont généralement ciblées pour les entreprises
disposant de plus de ressources que les PME/TPE et n’aident pas dans le
processus complet d’évaluation de leur cyberrésilience actuelle, de décision
d’actions pour l’améliorer et de hiérarchisation des actions.
Le manque de résilience des PME et TPE face aux cyberattaques peut

s’expliquer par les raisons suivantes (Swiss (2020) :
 Peu d’actions concrètes pour faire face aux risques : les

ressources limitées dont disposent ces entreprises leur font
avoir des exigences particulières dans un cadre de cyber-
résilience. De plus, toutes les politiques ne s’appliquent peut-
être pas aux petites entreprises qui ne disposent généralement
pas d’une cyberinfrastructure complexe ;
 Manque de connaissance du risque cyber : Parce que le
cyberrisque est difficile à comprendre, la plupart des PME
manquent de connaissances sur le cyberrisque et ne sont pas
en mesure de gérer ces menaces par elles-mêmes. De plus, il
existe une myriade de solutions de cybersécurité disponibles
sur le marché, mais les PME n’ont pas accès à des conseils
fiables sur la façon de créer un plan de gestion des
cyberrisques solide. Le dernier défi est que bien que la
cyberassurance soit considérée comme une solution de
cybersécurité, la cyberassurance n’est pas facilement
accessible aux PME.
 Manque de solutions clé en main
 Manque de moyens financiers
Partie 2 : Analyse des cybermenaces et
de la cybersécurité dans les PME/TPE
Dans cette seconde partie, notre objectif est d’analyser et d’évaluer la
pratique réelle des PME/TPE en termes de cyber sécurité en menant des
entretiens semi-directifs auprès d’un échantillon d’entreprise.
1. Méthodologie de recherche
La recherche ne se limite pas à décider d’une approche qualitative ou à
mener une étude de cas. Pour vraiment résoudre un problème de
recherche avec succès ou approfondir le sujet, une méthode de recherche
doit être développée. La méthodologie de recherche contient le plan
général de la recherche, quelles données doivent être collectées, comment
les données doivent être collectées, comment l’analyse sera effectuée,
entre autres. Cette information est fondamentale, car elle permet aux
chercheurs de gagner du temps et des ressources grâce à une préparation
adéquate.
Pour la réalisation du mémoire, il est opportun d’opter pour des méthodes

de recherche stratégique afin d’obtenir les éléments suffisants et des
informations pertinentes nous aidant à mieux analyser le sujet de
recherche.
La sélection des entreprises approchées et leur pertinence pour ce sujet

seront également abordées ainsi que la qualité de l’étude.
Cette méthodologie décrit un cadre pour la conduite de la recherche,

approfondissant les méthodes utilisées pour collecter les données ainsi que
les stratégies de recherche adoptées.
Par conséquent, la conception de la recherche consiste en une méta-étude
qualitative du type analyse des métadonnées : L’analyse des métadonnées
est l’analyse de données à partir d’études de recherche qualitative
sélectionnées, afin de créer un corpus de connaissances intégré et
systématiquement développé sur un phénomène spécifique (Pope C, Mays
N. (2006 p.9).
Dans cette procédure, l’analyse des données est effectuée en comparant

chaque rapport de recherche individuel avec tous les autres rapports qui
ont un objectif commun ou partagent des propriétés spécifiques et
génériques. Il s’agit d’apporter une compréhension plus large et originale
du phénomène étudié que les investigations individuelles sur lesquelles il
se fonde. Le principal avantage de l’analyse des métadonnées est que les
chercheurs évitent les biais théoriques et méthodologiques, en partant
d’une homogénéité qui rendra plus faisables l’analyse et la synthèse
ultérieure (Dumez, H. (2013 p.10).
1. Étude qualitative
Compte tenu du caractère exploratoire du contexte de cyber risque dans
les PME/TPE, les méthodes de recherches qualitatives semblent être les
plus adaptées pour mener les travaux de recherche.
La recherche qualitative est l’un des processus de génération de

connaissances destinées à comprendre les modes de vie, les histoires et
les comportements des personnes, les structures organisationnelles et les
changements sociaux (Dumez (2013 p.12). Cela signifie que les chercheurs
essaient de donner un sens ou d’interpréter les choses dans leurs
environnements naturels en termes d’incidents auxquels les gens donnent
un sens.
La conception de la recherche est utilisée pour structurer, planifier et

motiver les principales activités et décisions du projet de recherche, ainsi
que pour souligner comment les différentes parties travaillent ensemble
pour répondre à la question de recherche. Dumez (2013) a caractérisé cinq
conceptions de recherche qualitative courantes ainsi que des directives
générales sur la façon de les appliquer. Elles sont les suivantes : étude de
cas, ethnographie, études phénoménologiques, études théoriques ancrées
et analyse de contenu.
La méthode de recherche qualitative permet au chercheur de se concentrer

sur un problème commercial vu à travers le prisme du point de vue des
praticiens dans un cas délimité. Les méthodes de recherche quantitative
permettent aux chercheurs d’utiliser un échantillonnage aléatoire de
données empiriques pour déterminer les relations et les différences entre
les variables (Dumez (2013 p.23).
Les études qualitatives sont appropriées lorsque le chercheur se concentre

sur des phénomènes existants dans des situations réelles (Drapeau (2004
p.20). Pour la recherche qualitative, Drapeau (2004) mentionne que chaque
approche a deux choses en commun, la première étant de se focaliser sur
un phénomène qui se produit ou s’est produit dans un milieu naturel.
Deuxièmement, le processus de capture et d’étude de la complexité du
phénomène, sans chercher à simplifier ce qui est observé. Au lieu de cela,
le chercheur considère qu’il y a plusieurs couches et dimensions qui
doivent être reconnues, qui doivent finalement être illustrées. En ce qui
concerne l’étude actuelle, le phénomène en question est les défis pratiques
de mise en œuvre de la cybersécurité dans les PME. Le processus de
capture et d’étude du phénomène s’est déroulé pendant et après les
entretiens menés. Il est même rationnel de supposer que la majeure partie
de l’étude du phénomène se produit après les entretiens, principalement en
reliant la théorie aux conclusions des documents de transcription.
Ainsi dans cette étude, nous avons décidé d’adopter une méthode et une
conception qualitative d’études de cas multiples pour explorer les stratégies
de défenses des PME/TPE face aux cyber risques.
Une méthode d’étude qualitative permet de comprendre les phénomènes

en fonction de l’expérience et des connaissances subjectives des
participants (Drapeau (2004 p.12). Le chercheur doit sélectionner la
meilleure méthode de recherche pour l’étude prévue. Également, la
méthode qualitative est la plus appropriée lorsque le chercheur tente de
comprendre le fonctionnement d’une organisation (Corbin et Strauss
(2007). Ainsi, nous avons centré nos recherches sur les expériences et les
perspectives de certains chefs d’entreprises qui ont développé des
stratégies pour répondre aux risques cyber.
Dans une étude qualitative, les chercheurs explorent un problème existant

difficile à comprendre sans enquête, en utilisant un ensemble limité de
participants et de temps. Les chercheurs qualitatifs posent des questions
sur le pourquoi et le comment centrées sur le phénomène étudié. En
utilisant son expérience personnelle et professionnelle, le chercheur
interprète les idées et les perspectives uniques des participants (Pope et
Mays (2006 p.15).
2. Entretiens semi-directifs
Le recours à l’entretien semi-directif a pour objectif l’exploration en
profondeur d’un univers. On recherche la richesse du contenu, sa
profondeur, sa qualité et sa diversité. On travaille donc avec des
échantillons de taille réduite qui n’ont aucun objectif de représentativité au
sens statistique du terme, mais qui répondent à des critères de pertinence
de la structure de population étudiée compte tenu du problème spécifique
d’étude.
Dans cette étude, des entretiens semi-directifs ont été menés en utilisant
un ensemble prédéfini de questions ouvertes. Les entrevues semi-
structurées ont été menées à l’aide de conversations en face à face. Pour
assurer la crédibilité et la rigueur de la collecte et de l’analyse des données,
les mêmes questions ont été posées à chaque personne interviewée afin
quelques questions supplémentaires en fonction des réponses obtenues.
La méthode d’interview est l’une des méthodes les plus couramment

utilisées pour la collecte de données dans les recherches qualitatives. La
méthode d’entretien semi-structuré permet aussi de raconter le monde qu’il
perçoit avec ses propres opinions.
Même si certains auteurs préconisent que les entretiens soient réalisés « à

l’extérieur du lieu de travail (…), car tous les éléments rappelant aux sujets
le monde du travail perturbent la situation », nous avions décidé de réaliser
les entretiens in situ en déportant directement vers nos différents
répondants. Mais les mesures liées à la pandémie du COVID-19 nous ont
contraints à réaliser certains entretiens par Skype ou WhatsApp.
3. Échantillon et guide d’entretien

La validité interne de la recherche est assurée en évitant trois biais qui sont
reliés au contexte de la recherche, au recueil des données et à
l’échantillon.
Lors de la réalisation d’un entretien semi-directif, les chercheurs ne

déterminent pas un échantillon représentatif de la population. La méthode
d’échantillonnage choisie pour cette étude était l’échantillonnage raisonné.
L’échantillonnage de population raisonné permet de sélectionner des
entreprises de taille moyenne et réduite qui ont déjà fait face à des
cyberattaques ou qui risquent d’y faire face dans les années à venir. En
tout, les participants étaient au nombre de 15 entreprises.
4. Traitement des données

Selon Wacheux, (1996) les chercheurs peuvent utiliser la recherche
quantitative pour collecter des données, souvent par le biais d’enquêtes,
dans le but de généraliser ou de faire des inférences basées sur les
résultats. Les inférences sont nécessaires puisque la recherche quantitative
implique la collecte de données auprès d’un sous-ensemble d’une
population entière. D’autre part, la recherche qualitative fait généralement
référence au processus de collecte et d’analyse de données textuelles, tel
que des entretiens, des observations, des ethnographies ou des groupes
de discussion (Wacheux (1996). La recherche qualitative est donc
fortement axée sur l’interprétation des résultats, plutôt que sur les
déductions. Cela implique que les auteurs doivent organiser et analyser
suffisamment les données de l’entretien pour en faire des interprétations
logiques, solides et valides.
Hlady Rispal (2002) distingue deux logiques dans la recherche qualitative :

déductive et inductive. La logique qualitative déductive vise à approuver ou
réfuter un modèle théorique en le confrontant aux données tirées d’un
échantillon alors que la logique qualitative inductive vise la construction
d’une théorie à partir d’observations et d’études de l’objet de la recherche
et des pratiques des acteurs. Nous sommes concernés par cette seconde
logique dans le cadre de notre travail de recherche en ce sens que nous
partons des observations et de l’étude des pratiques des PME/TPE pour
savoir comment elles considèrent les cyber menaces et quelles stratégies
elles mettent en œuvre pour y faire face.
Ainsi dans l’analyse des données obtenues à partir des questions

d’évaluation de l’entretien, les données ont été divisées en différents sous-
titres et les sujets ont été étiquetés en fonction de leurs caractéristiques.
Dans la recherche, les principaux thèmes formés à la suite de l’analyse des
données étaient l’évaluation des niveaux de connaissances répondants
face aux risques cyber.
La stratégie analytique spécifique utilisée pour travailler avec les données a

été l’analyse de contenu, à travers laquelle il a été réalisé un processus de
synthèse, d’intégration et d’interprétation des contributions de la recherche
primaire. Ensuite, l’analyse de tous les données, concepts et métaphores
liés à la question de recherche a été entamée. Nous ne cherchons pas
dans le cadre de notre recherche à approuver et/ou réfuter un modèle
théorique donné. Nous sommes dans une démarche d’interprétation d’une
réalité subjective à la lumière de quelques théories que nous avons
mobilisées et sur la base de données qualitatives recueillies avec l’aide
d’entretiens.
2. Présentation des résultats
Avant de procéder à l’analyse des résultats obtenus durant les entretiens, il
est important de présenter le secteur d’activité de chaque entreprise que
nous avons approché.
Tableau 3 : Le secteur d’activité des entreprises concernées par l’étude
Entreprises Secteur d’activité
Entreprise 1 Commerce
Entreprise 2 Services marchands
Entreprise 3 Transport
Entreprise 4 Industrie
Entreprise 5 Études et conseils
Entreprise 6 Artisanal
Entreprise 8 Études et conseils
Entreprise 9 Artisanal
Entreprise 10 Financier
Entreprise 11 Industrie
Entreprise 12 Distribution
Entreprise 13 Financier
Entreprise 14 Construction
Comme le montre ce tableau, les entreprises que nous avons approchées

dans le cadre de ce travail appartiennent à des secteurs d’activité
différents. Cette diversification des secteurs d’activité va nous permettre de
reconnaitre les types de secteurs les plus touchés par les cyberattaques.
La plupart œuvrent dans le domaine des services marchands et du

commerce. Certaines PME/TPE mènent des activités industrielles et de
transports, alors que d’autres se sont implantées dans le secteur tertiaire,
notamment en proposant des services financiers ou encore des services
d’études et de conseils pour les entreprises.
Afin de mieux analyser les résultats, il nous semble important de structurer

les résultats en trois grands thèmes en fonction des questions posées :
 Considération des risques cyber par les PME/TPE et

attitude face aux cyberattaques
Dans ce premier thème, différentes questions ont été posées aux
interviewés pour connaitre la manière dont les PME/TPE considèrent les
cyberattaques, à savoir :
 Qu’entendez-vous par risque cyber ?

 Avez-vous déjà été victime de cyberattaques ?
 Vous sentez vous menacer par les cyberattaques ?
 Quels peuvent être les origines des menaces ?
 Selon vous, quels peuvent être les effets des cyberattaques sur
votre entreprise ?
Lorsque nous avons posé la première question, c’est-à-dire « Qu’entendez-
vous par risque cyber ? », beaucoup ont répondu que c’est une pratique qui
porte atteinte au système informatique pour effectuer des fraudes et des
vols d’identité. Les interviewés parlent aussi de contamination via
l’installation d’un logiciel frauduleux. Par ailleurs, un interviewé va plus loin
en évoquant les possibles conséquences d’un cyberattaque en stipulant
que les cyberattaques sont des risques de perte financière, d’interruption
des activités ou d’atteinte à la réputation. Toutes les réponses obtenues
vont dans le sens ou les cyberattaques sont des pratiques qui portent
atteinte à la santé des entreprises et à leur bon fonctionnement.
En tout, nous considérons que les PME/TPE ont une assez bonne
connaissance de ce que sont les risques cyber et la cybercriminalité et
aussi leurs conséquences.
En effet, si ce terme est bien connu dans le secteur des PME/TPE, c’est
notamment en raison du fait que la plupart d’entre elles ont déjà subi des
attaques informatiques, en tout cas, c’est le cas de la plus de la moitié des
entreprises que nous avons approchées dans le cadre de ce travail.
Lorsque nous avons posé la question suivante : « Avez-vous déjà été

victime de cyberattaques ? », la majorité des répondants ont répondu par
l’affirmatif.
Selon les entretiens menés, il est constaté que plus de la moitié des
PME/TPE de notre échantillon ont déjà été victimes de cyberattaques. Par
ailleurs, ce n’est pas le cas pour les 47% restants. Deux d’entre elles ont
signalé que l’incident était une attaque de virus. Toutefois, nous constatons
qu’en raison du faible nombre de preuves de cybercriminalité, il n’est pas
possible de tirer une conclusion sur la vulnérabilité des entreprises en
fonction du type d’activité commerciale qu’elles exercent. Ce qui est tout
simplement sûr, c’est que certaines entreprises se sentent menacer, même
ce n’est pas le cas de la majorité. En effet, les résultats des entretiens
montrent que 33% des PME/TPE se sentent menacées par les
cyberattaques, ce n’est pas le cas pour les 67% restants. Cette situation,
assez contradictoire par rapport aux réponses obtenues à travers la
question précédente, peut s’expliquer, d’une part, par un manque de
connaissance sur les impacts réels des cyberattaques, et d’autre part, par
l’existence d’une stratégie efficace pour faire face aux risques dans ces
entreprises. Cela étant, car la majorité des PME/TPE déclare avoir déjà été
victime de cyberattaques, pourtant, seul un tiers d’entre elles se sentent
menacer.
En outre, bien que les petites et moyennes entreprises constituent une

partie importante de l’infrastructure économique et cybernétique des pays,
la sécurité de leurs informations, systèmes et réseaux n’est pas leur priorité
absolue. Elles ne disposent généralement pas des ressources nécessaires
pour investir dans la sécurité de l’information de la même manière que les
grandes entreprises, ce qui les rend plus vulnérables aux cybercriminels.
En ce sens, les PME/TPE peuvent être affectée par un événement cyber de
plusieurs manières :
 Perdre de l’argent.
 Être poursuivi ou recevoir des réclamations des personnes
concernées en raison d’une mauvaise utilisation des
informations.
 Perdre des informations critiques pour gérer votre entreprise.
 Subir une atteinte à la réputation qui affecte la confiance de
leurs clients.
 Perte de revenus du fait de l’interruption de leur activité.
 Recevoir des sanctions des entités de contrôle et de
surveillance à la suite de l’utilisation abusive d’informations.
Dans ces contextes, les attaques peuvent émaner de différents
comportements des personnes travaillant au sein des PME/TPE ou encore
des caractéristiques de l’organisation elles-mêmes. Ainsi, lorsque nous
avons interrogé les PME/TPE sur les possibles origines des cyberattaques,
nous avons obtenus différents types de réponse. La réponse la plus
fréquente que nous avons obtenue concerne le comportement des
employés. Par exemple, ignorer les politiques d’information, les directives
organisationnelles et les règles de l’entreprise entraîne de nombreuses
menaces de cybersécurité. Certains interviewés ont par ailleurs pointé du
doigt le manque de connaissance sur les risques comme origine principale
des cyberattaques. Les réponses à la question suivante « Quels peuvent
être les origines des menaces ? », semblent alors divergées. Cette
divergence peut s’expliquer par les caractéristiques de l’organisation elle-
même, car d’autres peuvent par exemple avoir une bonne organisation
interne, mais avec une faible connaissance des risques cyber et des
comportements appropriés pour y remédier. Ou encore, il est possible que
les employés développent des comportements appropriés pour se prémunir
des cyberattaques, mais que les formations et les éducations sur le sujet ne
sont suffisantes pour optimiser l’efficacité de ces comportements.
Face à tout cela, il nous a semblé important d’interrogé les PME/TPE quant
aux effets possibles des cyberattaques sur leur organisation et la pérennité
de leurs activités : « Selon vous, quels peuvent être les effets des
cyberattaques sur votre entreprise ? ». À travers cette question, nous avons
remarqué que la majorité des réponses tournent autour de la perte
financière. Six des douze répondants ont affirmé que les cyberattaques
pourraient entrainer des pertes d’argent. L’atteinte à la réputation ainsi que
la perte d’informations importantes ont également été évoqué par beaucoup
de répondants. Ainsi, bien que de nombreuses PME/TPE pensent ne pas
se sentir menacer par les cyberattaques, beaucoup sont conscientes es
pertes encourues.
Face au fait que certaines PME/TPE sous-estiment la question de

cyberattaques, il semble intéressant de s’interroger sur les stratégies que
cette catégorie d’entreprise met en place pour faire face aux cyberrisques.
C’est ce qui va constituer la seconde partie de notre analyse.
 Les stratégies mises en place par les PME/TPE pour faire

face aux risques cyber
Dans ce second thème, nous avons commencé par interroger les PME/TPE
sur les mesures de protection qu’elles mettent en place à travers la
question suivante : « Quels types de mesure prenez-vous pour vous
protéger des cybers attaques ? ». Avec cette question, la réponse que nous
avons obtenue le plus fréquemment est la mise en place de procédures
d’authentification et de protection antivirus. Une pratique de protection
assez fréquente aussi chez les PME/TPE est la modification fréquente des
codes d’accès au réseau.
Les entretiens nous ont permis de constater que seules très peu de
PME/TPE accordent une grande importance aux cyberattaques pour se
prémunir à travers des contrats d’assurance. Dans le même temps, il n’y a
que très peu d’entre elles qui organisent des formations de sensibilisation à
la sécurité du personnel et utilisent des systèmes de journalisation et
d’alerte.
Pourtant, lorsque nous avons demandé aux PME et TPE si elles sont
prêtes à affronter les cybers attaques, certaines ont affirmé que oui.
Malgré les systèmes de défense mis en place par les PME /TPE pour se
protéger contre les cyberattaques, beaucoup d’entre elles aussi, 53%,
déclarent ne pas encore être prêtes à affronter les cyberattaques. Par
ailleurs, ce n’est pas le cas pour les 47% qui se sentent prêtes pour faire
face à ce type de menace.
Cette seconde partie du questionnaire nous a permis de constater que

malgré les stratégies de défense qu’elles mettent en place, les PME /TPE
ne semblent pas encore être en mesure de faire face aux cyberattaques et
beaucoup d’entre elles en sont conscientes. C’est notamment ce qui nous a
poussés à établir la troisième parie de cette analyse que porte sur les
difficultés rencontrées par les PME /TPE pour se protéger efficacement des
cyberrisques.
 Les défis à surmonter par les PME/TPE en termes de

protection contre les cyberattaques
Notre principale question quant aux défis des PME/TPE en termes de
protection contre les cyberattaques est la suivante : « Quels sont selon
vous les principaux défis des PME /TPE face aux cyberattaques ? »
En posant cette question aux interviewés, nous avons pu constater que

c’est le manque de moyen financier qui est la principale difficulté des
PME/TPE et les empêche à mettre en place des systèmes de protection à
la hauteur des risques encourus. Il y a également leur faible connaissance
sur le sujet et le manque d’expériences et de compétences sur la gestion et
la protection contre aux risques cyber.
3. Discussion
Les petites et moyennes entreprises (PME) ont souvent été encouragées à
tirer parti de toutes les opportunités possibles offertes par les nouvelles
technologies telles que les services de cloud computing pour se prémunir
des risques cyber ou encore d’autres techniques à travers des logiciels
appropriés. Pourtant, il existe un énorme malentendu sur les cyber risques
qu’elles encourent. La sous-estimation des menaces des cyberattaques par
les PME entraîne une augmentation de leurs vulnérabilités et de leurs
risques, qui peuvent malheureusement devenir de véritables défis pour
elles et d’autres parties prenantes.
Avant de procéder à la discussion des résultats que nous avons obtenus à

travers les entretiens, il nous semble important de commencer par
présenter la synthèse de ces résultats.
Tableau 4 : Synthèse des résultats des entretiens
À travers cette synthèse, notre discussion va porter sur trois points

essentiels, la prise en compte des risques cyber par les PME/TPE,
l’efficacité des stratégies qu’elles mettent en place et les facteurs qui les
empêchent à se protéger convenablement contre les cyberattaques.
 PME/TPE, des entreprises conscientes des risques, mais

qui sous-estiment leurs impacts
Selon la littérature, le développement rapide des technologies de
l’information et de la communication qui s’est produit au cours des
dernières décennies a multiplié les alternatives d’interaction et de
connexion entre les personnes et leur environnement, massifiant l’utilisation
d’appareils permettant d’envoyer et de recevoir des informations de
manière immédiate et en temps réel. Cependant, l’activité sur le réseau
comporte des risques, tels que celui de la cybernétique, qui augmentent à
mesure que de nouvelles manières de violer l’information sont découvertes.
Toutes les entreprises sont actuellement au courant de ces risques, y
compris les PME/TPE et cela a été prouvé par les entretiens que nous
avons menés.
Toutefois, même si les entreprises en sont conscientes, certaines d’entre

elles, plus particulièrement les PME/TPE, ont tendance à sous-estimés leur
occurrence et leurs conséquences.
Parmi les sources de vulnérabilité, De Werra et Benhamou (2020) évoquent

le comportement des employés dans les PME/TPE. Les entretiens que
nous avons menés confirment aussi cela. Par exemple, le fait d’ignorer les
politiques d’information, les directives organisationnelles et les règles de
l’entreprise entraîne de nombreuses menaces de cybersécurité. Également,
la formation et l’éducation sont importantes pour améliorer les
connaissances, alors que dans certains cas, même les connaissances ne
peuvent garantir le bon comportement. De plus, le manque de formation et
de sensibilisation a aussi été cité comme source de vulnérabilité des
PME/TPE vis-à-vis des cyberattaques. Selon De Werra et Benhamou
(2020) p.10 il existe une relation significative entre le comportement et
l’attitude des utilisateurs et la sensibilisation à la cybersécurité, alors que
les connaissances des PME/TPE ne montrent aucune relation significative
avec la sensibilisation à la cybersécurité. Selon la littérature, le manque de
sensibilisation peut être lié à un manque de connaissance des types de
cyberattaques. La création du meilleur programme de sensibilisation
possible pourrait aider à réduire les risques potentiels à des niveaux
acceptables.
Décrire les menaces de cybersécurité dans les PME/TPE pourrait être une
solution clé pour aider cette catégorie d’entreprise à comprendre le concept
principal de la cybersécurité qui peut avoir des impacts négatifs sur leurs
activités. Pourtant, de nombreux signes indiquent que les PME/TPE sous-
estiment les cybermenaces en n’utilisant pas de mesures de sécurité
efficaces.
La plupart des experts ont admis que la cybercriminalité serait la plus

grande menace pour toute entreprise, tandis que beaucoup PME/TPE
estiment qu’elles ne sont pas vulnérables en raison de leur taille. C’est
notamment pour cette raison que la plupart d’entre elles ne se sentent pas
menacées par les cyberattaques.
Par ailleurs, bien que certaines PME/TPE puissent reconnaître la possibilité

de cyberattaques, elles pourraient toujours en être victimes en raison d’un
manque de compétences et d’un manque de ressources. En tout, cas c’est
qui a été constaté non seulement dans la revue de littérature, mais
également à travers les entretiens menés.
 Les stratégies mises en place par les PME/TPE pour faire

face aux risques cyber
Selon notre cadre théorique, les antivirus/malwares sont le type de
technologies de sécurité informatique le plus connu par cette catégorie
d’entreprise. L’utilisation de sessions de connexion cryptées et la
conservation de supports de sauvegarde sont également des indications de
bonnes pratiques informatiques dans les PME/TPE. Néanmoins, l’utilisation
de logiciels juridiques était faible. L’une des bonnes pratiques de la
technologie de sécurité informatique consiste à utiliser des systèmes
d’exploitation et des logiciels open source. Cependant, les logiciels open
source ne sont pas courants parmi les petites entreprises, car l’utilisateur
sans formation technique peut avoir du mal à les utiliser. Ainsi, les
PME/TPE accusent un retard dans l’adoption des technologies de sécurité
informatique.
Les résultats des entretiens ont pu mettre en évidence les pratiques des
PME/TPE en termes de cybersécurité ainsi que les stratégies qu’elles
mettent en place pour se protéger. En comparant les résultats avec le
cadre théorique, certaines tendances peuvent être mises en évidence.
Selon Hazane (2016) on assiste à une augmentation des cyberattaques
dirigées contre les PME qui devient souvent problématique puisque ces
entreprises, dans de nombreux cas, ont des stratégies de défense
insuffisantes. En effet, il a été constaté, suite aux entretiens effectués, que
la protection contre les risques cyber se fait, pour la plupart des cas, par la
mise en place de procédure d’authentification et de protection antivirus.
Pour certaines d’entre elles, elles se protègent à travers certaines actions
et procédés comme la modification régulière des codes d’accès au réseau
ou encore par la souscription d’assurance. Cela signifie que non seulement
les PME/TPE ignorent qu’elles courent des risques, mais qu’elles ne font
rien pour se protéger. Bien qu’un manque de connaissances soit un facteur
explicatif, le manque d’organisation et de capacité en gestion des risques
contribue également à cette vulnérabilité.
Pourtant le cadre théorique nous montre que la cybersécurité d’une

entreprise passe premièrement par une analyse des risques auxquels elle
est exposée et la mise en place d’une politique de gestion des risques.
L’objectif étant de permettre de transférer le risque auquel l’entreprise est
exposée à la personne ou entité concernée par sa gestion. Le processus
doit être effectué par une personne de l’entreprise, qui sera en charge de
l’application et du suivi de la politique de gestion du risque cyber, toujours
avec l’approbation de la direction générale.
Il est tout de même important de noter qu’en raison de leurs

caractéristiques et surtout leur manque de moyens, les PME/TPE peuvent
ne pas avoir nécessairement les capacités suffisantes pour se protéger
contre les cyberattaques.
Pour cette raison, nous recommandons que, pour prévenir l’impact des
cyberrisques sur les PME, il soit essentiel d’avoir une structure efficace de
gestion des cyberrisques qui soit revue chaque année, car les menaces
évoluent constamment.
 Les défis à surmonter par les PME/TPE en termes de

protection contre les cyberattaques
Face aux risques cyber, les entreprises font face à des pertes financières
importantes qui peuvent mettre en péril la continuité d’activité dans les cas
les plus extrêmes ou, de manière plus “légère”, l’interruption des
opérations. C’est là que se situe le plus grand problème des PME et TPE
dans le cadre des cyberattaques comme le souligne Hazane (2016). En
effet, ces entreprises ne disposent pas nécessairement des moyens
financiers adéquats pour surmonter ces types d’attaques. Cela est évoqué
non seulement dans la littérature, mais également à travers les entretiens
que nous avons menés dans le cadre de ce travail.
En effet, nos résultats identifient que les défis auxquels sont confrontées
les PME/TPE face aux cyberattaques sont nombreux et de natures
différentes. Le problème sous-jacent commun à tous semble être la
sensibilisation et l’engagement de la direction, qui à leur tour déterminent le
budget, l’allocation des ressources et la mise en œuvre efficace des
pratiques de cybersécurité.
De plus, la littérature nous montre que les PME/TPE sont les entreprises
les plus exposées à ce type d’incident, car, en général, elles n’ont
généralement pas de plan de cybersécurité spécifique pour pallier ces
failles dans le système. Toute faille de sécurité, aussi minime soit-elle, sera
traquée par des pirates avec un seul objectif : s’emparer des données de
l’entreprise afin que la rançon soit payée.
Dans ce scénario, nous recommandons que la meilleure façon de prévenir

l’impact des cyberrisques pour les PME soit d’avoir un plan de prévention.
Dans ce contexte, la politique de protection de l’entreprise doit reposer sur
trois piliers fondamentaux : les facteurs humains et organisationnels, les
outils de protection et la capacité de récupération.
4. Recommandations
Bien que nous entendions parler de transformation numérique depuis
plusieurs années, il reste encore beaucoup à faire dans ce domaine. Les
progrès récents et continus de l’informatique (ou des technologies de
l’information) sont devenus les protagonistes du processus de
développement socio-économique dans lequel nous sommes plongés.
Alors que certaines entreprises ont déjà commencé à savourer les grandes
opportunités de croissance que la transformation numérique et
l’informatique leur ont offertes, beaucoup d’autres n’ont même pas
envisagé la nécessité de la rejoindre, notamment les PME/TPE. Face à
cette situation, les défis auxquels l’informatique doit faire face sont
nombreux.
La sécurité cherche toujours la gestion du risque, cela signifie qu’il y a

toujours un moyen de l’éviter ou de le prévenir et que certaines actions
peuvent être menées pour éviter au mieux ces situations.
De plus, il existe d’innombrables options de cybersécurité disponibles sur le

marché. Par exemple, il est possible d’éviter certains types de cyberrisques
en installant un logiciel antivirus, en identifiant les cyberviolations
potentielles en engageant des consultants en cybersécurité ou en
transférant les cyberrisques en souscrivant une cyber-assurance. Toutefois,
il est écrasant pour les PME de choisir une méthode qui fonctionne, car
elles ne sont pas familières avec le marché de la cybersécurité. Sans
conseils appropriés en matière de cybersécurité, la sélection d’une solution
de cybersécurité fiable sera difficile et prendra du temps, devenant ainsi un
autre défi pour ces catégories d’entreprises considérées comme assez
vulnérables. Étant donné que connaître l’importance et la complexité de la
protection contre une cyberattaque peut dépasser les capacités des
PME/TPE, il faut trouver des stratégies adaptées.
Dans ce contexte, les capacités de cybersécurité doivent faire plus que

répondre aux cybermenaces qui existent actuellement. Alors que les
technologies exponentielles entraînent des perturbations numériques, elles
introduisent des types de cybermenaces entièrement nouveaux et
amplifient les menaces existantes, nécessitant des capacités
supplémentaires que les entreprises doivent commencer à développer dès
maintenant.
Ainsi, les PME/TPE doivent savoir que le cyberrisque n’est pas une
question de technologies de l’information (TI), c’est une question d’affaires
et un impératif stratégique. Les responsables des risques, de la sécurité et
des affaires doivent constamment s’efforcer de comprendre les
opportunités et les risques associés à l’innovation numérique, puis de
trouver un équilibre entre la nécessité de protéger l’organisation contre les
cybermenaces et la nécessité d’adopter de nouveaux modèles
commerciaux et de nouvelles stratégies qui capitalisent sur la technologie
et jettent les bases de la réussite future.
Pour cela, quelques pistes d’actions sont présentées dans ce chapitre pour
optimiser et renforcer les stratégies de défense des PME/TPE contre les
cyber attaques.
1. Prise de décision en matière de cybersécurité

En ce qui concerne la prise de décision dans la gestion des risques liés à
l’information, les propriétaires et les gestionnaires jouent un rôle majeur, ce
qui montre à quel point le niveau managérial est important pour les
menaces de cybersécurité. Selon De Werra et Benhamou (2020) p.11). les
hauts dirigeants des PME/TPE doivent être directement impliqués dans les
décisions de mise en œuvre de la cybersécurité. Ainsi, les cadres
dirigeants doivent régulièrement faire appel à des experts pour prendre des
décisions afin de créer une culture de meilleure prise de conscience. Dans
le monde des affaires actuel qui repose sur les données et Internet, toute
décision qui pourrait être prise par les PME/TPE pour leur cybersécurité
peut affecter non seulement leur organisation, mais également l’ensemble
de l’industrie. Une telle décision de sécurité qui serait prise par en toutes
circonstances pourrait avoir un impact considérable sur leurs mesures
éventuelles et sur la sécurité de la chaîne d’approvisionnement dans son
ensemble.
Dans ce contexte, la route à suivre ne sera probablement pas facile. Les

entreprises, notamment les PME, sont confrontées à de nombreux défis
lorsqu’elles tentent de gérer les problèmes complexes du cyberrisque.
Ainsi, nous avons identifié les six thèmes suivants que les entreprises
devraient considérer :
 Engagement au niveau de la direction : pour de nombreuses

organisations, la responsabilité de prévenir, de gérer et de
récupérer des cyberincidents a tendance à être très
fragmentée. Les entreprises devraient envisager de mieux
comprendre le paysage des cyberrisques afin d’établir une
structure plus efficace pour maîtriser ce problème critique dans
l’ensemble de leurs organisations. Dans ce contexte, Ben
Jabeur et Serret (2019) souligne également l’importance de
l’engagement des conseils d’administration pour se protéger
des menaces pesant sur les systèmes d’information. Il existe
également une opportunité importante de trouver un équilibre
plus efficace entre investir dans les bonnes technologies de
pointe tout en s’assurant que, ce faisant, elles ne s’exposent
pas à un cyberrisque accru ;
 Optimisation de la confiance des clients : les entreprises
d’aujourd’hui font face à une situation assez délicate en ce qui
concerne les réactions potentielles des consommateurs à la
suite de cyberviolations. Dans ce contexte, elles doivent non
seulement tenir compte de la façon dont les perceptions
d’incertitude quant à la confidentialité des informations
personnelles peuvent avoir un impact sur les futures décisions
d’achat, mais également assurer à leurs clients qu’elles
prennent les mesures appropriées pour atténuer le
cyberrisque ;
 Gérer letalent et capital humain : la capacité d’une organisation
à gérer efficacement et efficacement le cyberrisque doit faire
partie de sa culture. Le talent peut être le maillon le plus faible
du paysage cybernétique. Afin d’atténuer ce risque, il est
impératif d’attirer, de former et de retenir les meilleurs cyber
talents tout en mettant en œuvre des programmes éducatifs
pour tous les employés sur le rôle qu’ils jouent afin de
minimiser les risques dans un paysage numérique en évolution.
Par ailleurs, d’autres pistes d’action sont également proposées aux
PME/TPE afin de favoriser leur résistance aux cyberattaques.
2. Renforcement de la résilience
Au-delà de la simple dépendance à la technologie de l’information et de la
communication, les tendances mondiales actuelles exercent une pression
unique sur l’ensemble de la cyber-résilience. La course aux armements
entre l’industrie de la sécurité et les cybercriminels continue de s’intensifier,
mais les entreprises d’aujourd’hui ont plus que jamais à perdre de la perte
de données. Dans ce contexte, la cyber-résilience se montre plus que
jamais primordiale.
Pour faire face à la variété d’incidents qui pourraient leur arriver, les
PME/TPE doivent être cyber-résilientes, c’est-à-dire être capables
d’anticiper, de détecter, de résister, de récupérer et d’évoluer face aux
cyber-incidents. Ce concept de cyber-résilience est plus large que le
concept traditionnel de cybersécurité, qui se concentrait principalement sur
la protection des systèmes contre les attaques malveillantes.
Essentiellement, la différence entre la cybersécurité et la cyber-résilience
peut se résumer en ce que la cybersécurité vise à rendre les systèmes
infaillibles tandis que la cyber-résilience vise à rendre les systèmes sûrs en
cas de défaillance.
Cependant, le changement apparemment léger de perspective de la

cybersécurité à la cyber-résilience entraîne plusieurs conséquences pour
les entreprises qui tentent de l’opérationnaliser. Des recherches récentes
ont défini les dimensions et les actions qui doivent être comprises et mises
en œuvre pour qu’une PME/TPE soit cyber-résiliente. Ces dimensions et
politiques incluent les solutions techniques, mais aussi la gouvernance, la
gestion des risques, la formation et la sensibilisation du personnel, etc.
Pour mettre en œuvre cette combinaison complexe de politiques, il faut

généralement une direction très expérimentée pour prendre des décisions,
hiérarchiser et mettre en œuvre les politiques de manière efficace.
La cyber-résilience fonctionne en fournissant une défense en profondeur. Il

n’y a pas de solution miracle pour faire face aux menaces en constante
évolution ou pour assurer une continuité d’activité transparente face à des
circonstances imprévues. Les stratégies de défense en profondeur
résolvent le problème d’un nombre apparemment illimité de vecteurs
d’attaque et de scénarios de perte de données.
Au lieu de cela, la défense en profondeur s’appuie sur plusieurs

technologies pour sécuriser les utilisateurs, les réseaux et les appareils, et
être en mesure de récupérer des données compromises à tout moment. La
cyber-résilience peut les PME et les TPE à :
 Bloquer les menaces avant qu’elles ne puissent s’infiltrer dans

vole réseau et avoir ainsi une ligne de défense essentielle ;
 Protéger les terminaux contre les menaces pour garantir la
productivité des utilisateurs et la sécurité des données ;
 La récupérer avec un temps d’arrêt minimal et sans perte de
données importantes pour permettre aux activités de continuer
comme d’habitude.
Par conséquent, une sensibilisation accrue à la cybersécurité au niveau de
la direction des PME pourrait améliorer d’autres facteurs majeurs tels que
les comportements et la prise de décision. Par exemple, une sensibilisation
accrue des décideurs pourrait conduire à accorder plus d’attention aux
investissements des PME dans la cybersécurité. En revanche, les pratiques
de cybersécurité sont un élément clé qui pourrait fournir une solution
parfaite pour les PME. Également, la compréhension de la manière
d’appliquer le RGPD par les PME pourrait aider à résoudre plusieurs
problèmes qui se reflètent sur la protection de nombreux autres domaines
de données.
3. Mettre en place des systèmes de sécurité

En raison de leur vulnérabilité quant aux risques cyber, les PME et TPE
doivent mettre en place des systèmes de sécurité efficace.
Dans ce contexte, il faut souligner que toute politique de prévention exige

que les gens sachent quelle attitude face aux risques cyber :
 Le personnel de l’entreprise doit être sensibilisé à l’application

des normes et des bonnes pratiques.
 Les sous-traitants et prestataires de services doivent être
sensibilisés et formés.
De plus, la protection de l’entreprise dépend de facteurs organisationnels
qui doivent impérativement être pris en compte :
 La sécurité des accès physiques et à distance : la gestion des

droits d’accès, tant physiques qu’informatiques, doit être
adaptée à la situation des PME et TPE et à leurs
caractéristiques ainsi qu’aux fonctions des collaborateurs
concernés. Dans ce contexte, il est utile de définir un niveau
minimum de sécurité, comme des mots de passe à huit
caractères qui combinent majuscules, minuscules, chiffres et
symboles ;
 Sensibilisation adéquate du personnel et des partenaires et
collaborateurs : tous les employés doivent être sensibilisés à
l’importance des risques cyber. Cette politique doit également
être partagée avec l’ensemble des partenaires, fournisseurs et
prestataire ;
 Mise à jour des programmes et applications d’exploitation, de
gestion, de process et de production : les bogues de
programme sont des passerelles pour les intrusions
malveillantes. Ces défauts doivent être corrigés au fur et à
mesure qu’ils sont identifiés.
Dans ce contexte, les processus de gestion des risques de sécurité de
l’information doivent être menés à la suite de modifications apportées aux
éléments d’un système d’information. De Werra et Benhamou (2020) ont
constaté que seulement une minorité des PME suivent cette méthodologie,
ce qui est logique, car la majorité ne prennent en compte les
recommandations de la norme ISO/IEC 27005. Par exemple parmi les
entreprises interrogées, la plupart des PME n’ont même pas pris en compte
les facteurs humains dans leur approche de gestion des risques. Pourtant,
ce que les employés d’une organisation savent des techniques d’attaque
potentielles et des réponses appropriées affecte grandement le succès des
mesures de sécurité mises en œuvre.
 Les avantages potentiels

La gestion des risques a, selon une étude menée par Souvira et Quéméner
(2012), un impact positif sur la performance des PME. Les auteurs
précisent qu’une mise en place d’une stratégie de gestion des risques
améliore l’entreprise en termes de performace, de statut juridique, de
capital et de taille. De plus, les auteurs affirment qu’avec la gestion des
risques, les PME sont généralement mieux préparées à gérer les risques
liés à l’augmentation des coûts de main-d’œuvre, à divers types de cyber-
risques et à augmenter la probabilité d’atteindre des objectifs commerciaux
définis. Un système de gestion des risques complet peut réduire la volatilité
des bénéfices, améliorer la réputation, favoriser les économies de coûts et
préparer l’organisation à faire face efficacement à tout type de risque, ce
qui peut entraîner un succès à long terme. D’autre part, une PME sans
système de gestion des risques augmente la probabilité d’échec de et peut
par la suite s’appuyer sur des pratiques commerciales contraires à
l’éthique.
4. Avoir les capacités de cybersécurité

Pour se protéger des cybermenaces émergentes, une organisation doit
également s’assurer qu’elle a mis en place des capacités de cybersécurité
de base qui peuvent la protéger contre les menaces d’aujourd’hui, tout en
investissant dans des capacités de niveau supérieur qui peuvent la
protéger contre toute menace qui pourrait survenir à l’avenir. Ces
fonctionnalités actuelles et de niveau supérieur se répartissent en trois
grandes catégories (Deloitte (2022) :
 Sécurisé : de véritables défenses contre les attaques, y

compris tous les niveaux de l’organisation, des cyber-stratégies
aux politiques et procédures en passant par les systèmes et les
contrôles ;
 Vigilant : des systèmes d’alerte précoce, qui permettent
d’identifier les menaces potentielles avant qu’elles ne frappent
et de détecter rapidement les attaques et les failles de sécurité
dès qu’elles se produisent ;
 Résilient : sa capacité à réagir aux attaques et à se rétablir
rapidement avec un impact minimal sur l’organisation, sa
réputation et sa marque.
5. La cyber assurance : une nécessité ?
Il constaté que le risque cyber est une préoccupation réelle et croissante
pour les PME qui est largement sous-estimée par les propriétaires de PME.
Cela se reflète dans le fait que le cyber-risque est rarement une
composante de la gestion stratégique des risques pour les PME et que la
cyber-assurance est largement sous-utilisée. Le coût de la protection contre
le cyber-risque en améliorant l’efficacité opérationnelle et en souscrivant
une cyber-assurance représente une petite fraction du coût potentiel
résultant d’une cyber-violation. Les compagnies d’assurance qui proposent
une cyber-assurance doivent s’assurer que la couverture est à la fois
abordable et complète, et adaptée aux besoins individuels.
Pour avoir une idée de l’impact des risques cyber sur les PME, il existe
actuellement des polices d’assurance qui incluent ce type de couverture.
De plus en plus d’entreprises multinationales et de PME contractent des
assurances cyber risques avec l’idée d’améliorer la gestion des risques
dans le domaine de la sécurité informatique. L’objectif de ces polices est de
fournir une couverture aux entreprises en transférant le risque aux
assureurs.
En ce sens, l’assurance cyber-risque offre une possibilité de plus à

l’entreprise lorsqu’il s’agit de protéger ses actifs numériques. Certaines
couvertures courantes incluent : les dommages propres (perte ou vol de
données, déni de service), la responsabilité civile, l’assistance technique
(prévention, effacement d’empreintes digitales) et le service après-accident.
C’est pourquoi il est recommandé aux PME de souscrire une assurance

contre les risques cyber, comprenant également un plan général de
cybersécurité.
Le cyber-risque pour les PME est relativement nouveau et le marché de

l’assurance contre les cyber-risques pour les PME n’est pas bien
développé. Par conséquent, il est important de développer un processus
complet de suivi et de surveillance du coût du risque cyber avec les
données fournies par les compagnies d’assurance. Cela permettra
d’analyser le coût du cyber-risque selon divers secteurs d’activité, leur taille
et d’autres facteurs critiques.
Conclusion
Avant de conclure, il est important de préciser que l’objet de cette étude est
d’analyser la vulnérabilité des PME/TPE en termes de cyberattaques en
répondant à la problématique suivante : « Comment la fonction risque
s’organise et se déploie-t-elle dans les PME/TPE pour améliorer la
cybersécurité ? ». Pour répondre à cette problématique, une étude
qualitative a été menée à travers des entretiens auprès d’un échantillon de
PME/TPE.
Une préoccupation constante dans la littérature a été le manque de sérieux

dans les manières habituelles des PME/TPE de faire face aux menaces de
cybersécurité. Une autre question soulevée est que les PME sous-estiment
généralement les cybermenaces, ce qui se traduit par le manque de
mesures de sécurité mises en place. Pourtant, il peut y avoir une idée
fausse selon laquelle les PME sont moins vulnérables aux cybermenaces
en raison de leur taille. En outre, il est important de souligner que des
rapports récents montrent que les PME sont devenues le type de cible le
plus précieux pour les cyberattaques. Par rapport aux grandes entreprises,
elles manquent de mesures de sécurité efficaces, ont moins d’expertise et
utilisent généralement des méthodes de sécurité plus anciennes.
Par exemple, elles ne semblent pas se préoccuper de la pression

normative de la communauté de la cybersécurité, comme à travers les
pratiques professionnelles. Par conséquent, les personnes autorisées
participent généralement inconsciemment à des pratiques à risque qui
pourraient affecter la sécurité, la confidentialité des données et les mesures
techniques préventives. Tout cela s’accompagne d’un manque
d’engagement de ces types d’entreprises vis-à-vis des stratégies de
protection. La principale raison dans la plupart des cas est la faiblesse des
techniques de défense utilisées par les PME par rapport aux grandes
entreprises, impliquant moins d’expertise, une sous-traitance inconnue et
des méthodes de sécurité anciennes.
En outre, l’externalisation d’installations telles que le cloud serait une

solution clé pour les PME/TPE ; cependant, les avantages de
l’externalisation risquent de ne pas répondre au besoin de bonnes
pratiques, en tout cas, aucune des PME/TPE étudiées n’y procède pour le
moment. Également, il a été avancé que davantage d’activités de formation
et de sensibilisation augmenteraient les connaissances, mais cela ne se
refléterait pas non plus dans les bonnes pratiques de cybersécurité des
PME/TPE (D’Elia, D. (2015). Par ailleurs, l’estimation du coût de la
cybercriminalité est considérée comme un véritable défi pour les PME/TPE.
Bien que certaines PME puissent reconnaître la possibilité de

cyberattaques, elles peuvent être victimes de ces événements en raison
d’un manque de compétences, d’un manque de ressources et d’un manque
de persévérance.
Quel que soit le type de difficultés rencontrées par les PME/TPE, il est
important de noter que toute entreprise, quelle que soit sa taille et l’activité
qu’elle exerce, peut prendre des mesures pour se protéger des
problématiques cyber et ainsi préserver sa compétitivité et sa survie.
Une étude récente menée par De Werra et Benhamou révèle que les
PME/TPE ont davantage besoin d’informations supplémentaires sur les
risques cyber et pour pouvoir développer le contenu de leurs programmes
de sensibilisation. La création du meilleur programme de sensibilisation
possible pourrait aider à réduire les risques potentiels à des niveaux
acceptables tout en faisant face au manque de moyens dont souffrent ces
entreprises.
Par ailleurs, il nous semble important de noter que cette étude n’a pas pu
collecter beaucoup de données sur les incidents de cybercriminalité en
raison du nombre inférieur de répondants. C’est donc l’une de sa plus
grande limite, mais cela pourrait aussi faire l’objet d’une étude future, afin
d’établir des stratégies adaptées à chaque type d’incidents.
Références bibliographiques
ANSSI. (s.d.) Principales menaces. ANSSI. Consulté le 20 mai 2022,
sur https://www.ssi.gouv.fr/entreprise/principales-menaces/
Bannelier, K. et Christakis, T. (2017). « Cyberattaque Prévention-Réaction :

rôle des États et des acteurs privés », Les Cahiers de la Revue Défense
Nationale, Paris, 30-50
Ben Jabeur, S. & Serret, V. (2019). Principes et enjeux de la responsabilité

des conseils d’administration face au risque cybernétique. Question(s) de
management, 26, 67-76. https://doi.org/10.3917/qdm.194.0067
Boos R. (2019). La lutte contre la cybercriminalité au regard de l’action des

états. Université de Lorraine
Bpifrance (2017). Guide cybersécurité à destination des dirigeants de TPE,

PME ET ETI.
CLUSIB, (2006). Risques informatiques : Maîtriser ou périr, p.6-7
Corbin J et Strauss A. (2007). Basics of qualitative research. Third

edition. Los Angeles : Sage Publications. 1-312.
Coutant, A. (2022). Les approches sociotechniques dans la sociologie des
usages en SIC. Revue française des sciences de l’information et de la
communication [En ligne], mis en ligne le 23 janvier 2015, consulté le 20
juillet 2022 URL : http://journals.openedition.org/rfsic/1271 ; DOI :
https://doi.org/10.4000/rfsic.1271
Dejean, P. & Sartre, P. (2015). La cyber-vulnérabilité. Études, -, 21-31.

https://doi.org/10.3917/etu.4218.0021
DElia, D. (2014). La guerre économique à l’ère du cyberespace, Hérodote,

n° 152-153, p. 240-260
Deloitte (2022). Cinq étapes essentielles pour améliorer la cybersécurité.
De la S., Juan M. (2020). Introduction au Cyber-Harcèlement.
De Werra, J., Benhamou, Y. (2020). Cyberassurance : instrument utile pour

la cybersécurité des entreprises ? Analyse juridique et recommandations
des mesures étatiques concernant les cyberassurances visant à protéger
les entreprises (PME). In: Jusletter, 2020, n° 24 août.
Drapeau M. (2004). Les critères de scientificité en recherche qualitative.

Pratiques psychologiques. 10:79-86
Dreyer, E. (2019). Vol de données légitime ou tentative d’extorsion ?
Dumez, H. (2013). Qu’est-ce que la recherche qualitative ? Problèmes

épistémologiques, méthodologiques et de théorisation. Annales des Mines
– Gérer et comprendre, 112, 29-
42. https://doi.org/10.3917/geco.112.0029
Dupont B., Gautrais V., (2010). Crime 2.0 : le web dans tous ses états,
Champ Pénal : Nouvelle revue internationale de criminologie, vol VII.
DOI :10.4000/champpenal.7782
Dupont, B. (2010). La coévolution du « vol d’identité » et des systèmes de

paiement. Criminologie. 43. 247. 10.7202/1001777ar.
Eddé, R. (2020). Les entreprises à l’épreuve des cyberattaques. Flux, 121,

90-101. https://doi.org/10.3917/flux1.121.0090
Hazane, E. (2016). (In)sécurité numérique et PME : transformer les défis en
atouts. Sécurité et stratégie, 22, 14-
19.https://doi.org/10.3917/sestr.022.0014
Hlady Rispal, M., (2002). La méthode des cas: Application à la recherche

en gestion, de boeck.
IFACI 2.0, (2020). Les questions de l’auditeur et du contrôleur interne.
IFC. (2015). Services financiers numériques et gestion des risques. ISBN :

978-0-620-71506-5
Islam, S., Farah, N., Stafford, T. (2018). Factors associated with

security/cybersecurity audit by Internal audit function, Managerial Auditing
journal.
Kello, L. (2014). Les cyberarmes : dilemmes et futurs possibles. Politique

étrangère, 139-150. https://doi.org/10.3917/pe.144.0139
Kempf O., (2015). Dimension informationnelle de la cyberstratégie, in :

Harbulot C. (sous la direction de), Manuel d’intelligence économique,
Paris : Presses universitaires de France, p. 153-164
KPMG. (2021). Le défi du risque cyber : vues croisées d’auditeurs internes

et responsables cybersécurité – enquête menée auprès de responsables
cybersécurité et auditeurs internes en février 2020, complétée par des
questions liées à la Covid-19 en juin 2020.
KPMG, (2017). Point de vue de l’audit : La cybersécurité, une question

cruciale à l’ordre du jour des comités d’audit.
Kremer, S et al. (2019). Cybersécurité. Inria, pp.18, 2019, Inria white

book. ⟨hal-02414281⟩
Lagare,S. (2021). PME. Études des cyberattaques de type ransomware et

proposition de solutions adaptées aux particuliers et PME, p.1
Lehu, J. (2018). Cyberattaque : la gestion du risque est-elle encore

possible : Analyse et enseignements du cas Sony Pictures. La Revue des
Sciences de Gestion, 291-292, 41-
50. https://doi.org/10.3917/rsg.291.0041
Lewis, J. (2014). Étude préliminaire sur les analyses en cybersécurité :
l’affaire Snowden comme étude de cas. Hérodote, 152-153, 26-
34. https://doi.org/10.3917/her.152.0026
Meurant, S., & Cardon, R. (2021). La cybersécurité des entreprises –

Prévenir et guérir : quels remèdes contre les cyber virus ?
Meziat, C. et Guille, L. (2019). Intelligence artificielle et cybersécurité,

Protéger dès maintenant le monde de demain
Moshaigeh, A. (2019) et al. Cybersecurity risks and controls. CPA Journal.

Vol. 89 Issue 6
Pope C, Mays N. (2006). Qualitative research in health care. Third edition.

Oxford : Blackwell Publishing 1-150.
Poinsot L. (2018). Chap. I : Introduction à la sécurité informatique. UMR

7030 – Université Paris 13 – Institut Galilée. p.206
Poupard, G. (2018). Le modèle français de cybersécurité et de

cyberdéfense. Revue internationale et stratégique, 110, 101-
108. https://doi.org/10.3917/ris.110.0101
Raphael G.Y. (2018). Support de cours de sécurité informatique et

crypto.Master. Congo-Kinshasa. ffcel-01965300
Revue de la Gendarmerie Nationale (2019). La sécurité économique des

TPE et des PME dans un environnement numérique. Numéro 264
Senat (2022). La cybersécurité des entreprises – Prévenir et guérir : quels

remèdes contre les cyber virus ? Rapport d’information n° 678 (2020-2021)
Souvira, A. & Quéméner, M. (2012). Cyber-sécurité et entreprises : se

protéger juridiquement et se former. Sécurité et stratégie, 11, 86-
94. https://doi.org/10.3917/sestr.011.0086
Swiss VR (2020). Conseils aux CA des PME: cyber-résilience.

Teboul, B. (2022). Le tournant cognitif de la cybersécurité : changement de
paradigme et prolégomènes à la cybersécurité cognitive.. The European
Scientist, 2022. ffhal-03639141f
Thierry B., Schafer V., (2019), Les réseaux en péril : destructions,

subversions et sabotages (XIXe-XXIe siècles), Flux, 2019/4 (N° 118), p. 7-
10. DOI : 10.3917/flux1.118.0007
Ventre, D. (2016). De l’utilité des indices de cybersécurité. Sécurité et

stratégie, 22, 5-11. https://doi.org/10.3917/sestr.022.0005
Ventre, D, Loiseau, H. et Aden, H. (2021). La cybersécurité en sciences

humaines et sociales – méthodologies de recherche.
Wacheux, F., 1996. Méthodes Qualitatives et Recherche en Gestion, Paris:

Economica
Weber, C. & , J. (2017). La place de l’homme dans les enjeux de

cybersécurité. Stratégique, 117, 83-
98. https://doi.org/10.3917/strat.117.0083
1 https://www.institutlouisbachelier.org/laugmentation-des-
cyberattaques-represente-une-menace-systemique/
2 : Cyberattaque : le top de 2021, récupéré

sur https://2si.fr/actualites/cyberattaque-le-top-de-2021/ , le 18 avril
2022

Exemple de Mémoire D

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Exemple de Mémoire D

Transféré par

Droits d'auteur :

Formats disponibles

Exemple de mémoire d’Informatique

Cet exemple de mémoire vous donne un aperçu des attentes académique

I-2. Les diverses formes de cybercriminalité 11

I-3. Les facteurs de l’afflux des cyberattaques chez les entreprises 13

1. Les sources de cyber risque 13

a) Les sources internes 14

b) Les sources externes 15

2. Les enjeux économiques des cyberattaques pour les entreprises 16

I-4. Analyse des grands enjeux de l’atteinte de la cybersécurité 17

1. Un taux de piratage accru 18

2. Des attaques de plus en plus sophistiquées 20

3. Une violation du cyberespace de l’entreprise 20

I-5. Des risques qui peuvent provenir de l’erreur humaine 22

II. Cybersécurité des TPE et des PME 25

II-1. Les principaux risques cyber pour les PME 27

II-2. Les cyberattaques ayant le plus d’impact sur les PME/TPE 29

II-3. Comment les PME/TPME se protègent-elles ? 30

II-4. La cyber-sécurité reste encore un défi de taille pour les PME/TPE 31

3) Retard du client et réduction de la capacité d’exploitation de l’entreprise

II-5. Résilience des TPE-PME à ces risques 37

Partie 2 : Analyse des cybermenaces et de la cybersécurité dans les

I-3. Échantillon et guide d’entretien 43

I-4. Traitement des données 43

1) Prise de décision en matière de cybersécurité 59

3) Mettre en place des systèmes de sécurité 62

4) Avoir les capacités de cybersécurité 64

5) La cyber assurance : une nécessité ? 64

Le forum économique mondial identifie le cyber risque systémique comme

Quand on parle de termes de sécurité informatique, il faut comprendre les

L’utilisation des médias informatiques et d’Internet pour commettre des

La question de la cybersécurité représente également un enjeu majeur pour

Selon Hazane (2016), dans son article, « (In)sécurité numérique et PME :

C’est pourquoi il semble plus qu’intéressant de s’intéresser à la vulnérabilité

Pour traiter cette question, ce travail se divise principalement en deux

En effet, force est de constater que le développement grandissant de

Tableau 1 : Les termes clés de la sécurité informatique

Termes clés Signification

La sécurité informatique est responsable de la sécurité de l’environnement

D’une manière générale, la sécurité informatique peut être définie comme

Selon l’ANSSI (Glossaire, 2022)la cybersécurité est un « État recherché

Toutes ces définitions se rejoignent sur le fait que la sécurité informatique

La tâche principale de la sécurité informatique est de minimiser les risques

 Les utilisateurs : les utilisateurs sont considérés comme le

 Confidentialité : accès aux données et informations uniquement

2. Les diverses formes de cybercriminalité

Malgré le fait qu’un pourcentage élevé de formes de cybercriminalité

Il existe différentes formes de cybercriminalité. Nous allons en présenter

 Le piratage : en termes simples, le piratage est un acte commis

3. Les facteurs de l’afflux des cyberattaques chez les entreprises

1. Les sources de cyber risque

Moshaigeh (2019) a récemment décomposé et classé le cyber-risque en

Les organisations dépendent de plus en plus d’écosystèmes dotés de

À mesure que la prolifération des technologies de l’information, la

Par ailleurs, il est important de noter que les cyber-risques ne se contentent

1. Les sources internes

Le vol de données est le terme utilisé lorsque des informations sont

Une variable interne importante du cyber-risque perpétré en interne est le

2. Les sources externes

Il existe cependant des distinctions importantes entre les risques associés à

La communication mobile diffère par les types d’appareils utilisés, les

2. Les enjeux économiques des cyberattaques pour les

Motivés par la théorie du marché efficace, Eddé (2020) a utilisé une

Par ailleurs, il est important de noter que le véritable coût des