Pour débuter le CyberMois, Cybermalveillance.Gouv.fr a lancé ImpactCyber : une opération pour convaincre les TPE-PME de passer à l’action face aux menaces. L’organisme, dédié à la cyber-protection des particuliers, des petites et moyennes entreprises et des collectivités locales a branché le projecteur sur les TPE et PME.
Cybermalveillance.gouv a rendu public le 1er octobre une étude d’OpinionWay qui analyse l’ état des lieux , inquiétant, des TPE et PME en matière de cybersécurité. C’est le point de départ d’un sursaut que propose l’organisme qui s’es associé pour l’opération avec la CPME, l’U2P (l’Union des Entreprises de proximité ) et le Medef.
En effet, avec plus de 4 millions d’entreprises, les TPE-PME constituent 99%* du tissu économique français. Les TPE-PME ne semblent pas avoir mis en place les mesures nécessaires à leur protection cyber et paraissent, de ce fait, bien moins armées. Elles représentent ainsi une cible de choix pour les cybercriminels.
C’est autour de cette conviction que Cybermalveillance.gouv.fr a réuni ce groupe de travail pour responsabiliser les TPE-PME et les convaincre de se sécuriser.
Ces travaux ont donné naissance à l’opération ImpactCyber, articulée en 3 phases : une enquête pour bien cerner leur rapport à la cybersécurité, une campagne de sensibilisation et enfin, un mémento de cybersécurité, qui se veut un recueil de référence pour les TPE-PME.
4 millions de TPE-PME, un enjeu de taille
L’enjeu est de taille: les millions de TPE et PME du commerce, artisanat ou professions libérales, représentent les 2/3 des entreprises françaises !
Mais la grande originalité de l’étude OpinionWay, à mon sens est de s’être penchée sur essentiellement sur le cas des TPE. L’échantillonnage de l’étude est en effet constitué à 95% de TPE:
- 27% d’entreprise avec 0 employé , typiquement un artisan, indépendant ou profession libérale;
- 68% d’entreprises de 1 à 10 employés;
- Les 5% restants sont 3% d’entreprises de 1 à 50 personnes , et davantage qualifiables de PME, 1% de 50 à 100 et 1% de de 100 à 250 employés.
Les TPE, angle mort des études et mal-aimées du marché
Les TPE sont l’angle mort de la cybersécurité et cette enquête est sont sans doute une des premières à apporter des chiffres. Elles sont aussi les mal-aimées, du marché, par quasi absence de budget , et parce qu’elles sont difficiles à protéger compte tenu de leurs disparité, de leur absence généralement de ressource interne numérique.
Même si quelques initiatives se déclarent pour les cyberprotéger (comme celles de Docaposte ou du Cybersoc d’Orange Cyberdefense), elles représentent un marché compliqué sur le plan économique, mais auprès duquel, un tissu de prestataires informatiques prospère.
L’opération Impact Cyber pour inciter les TPE et PME à se sécuriser est donc salutaire.
78% des TPE et PME se disent non préparées à une attaque informatique
Penchons-nous sur l’ état des lieux qu’apporte l’enquête OpinionWay, et qui se révèle inquiétant.
Ces entreprises sont conscientes des risques . 15% ont été touchées par un incident de cybersécurité sur les 12 derniers mois (hameçonnage 24%, Virus 18%, faille non corrigée, 43%).
Seules 38% des entreprises pensent être fortement exposées aux risques informatique, 62% d’entre elles s’estimant faiblement exposées.
Elles sont pourtant conscientes des risques, et désignent l’impact potentiel d’une attaque :
Des budgets contrastés, en proportion de la taille des entreprises
Et pourtant, le budget est faible (2000€ pour 7 répondants en moyenne globale) et 10% pensent augmenter leur budget . Il n’en est pas de même sur la partie de l’échantillon PME: celles de 10 à 49 employés prévoient une hausse de budget cyber de 22% et les entreprises de plus de 50 employés une hausse de 48% !
La cybersécurité est l’affaire de tous, selon 3 entreprises sur 5 (58%), qui considèrent que le sujet doit mobiliser l’ensemble de l’entreprise. La sensibilisation effective des salariés est surtout déclarée chez 70 des PME de plus de 50 employés, et 71% dans les PME 10 à 50.
Bien que conscientes des conséquences d’un attaque, la majorité des répondants ne s’estime pas préparé à l’ affronter..
Presque 80 des TPE et PME avouent ne pas être prêtes en cas d’attaque informatique . En moyenne 22% – 1 sur 5 seulement se sent préparée. Chez les 10-50 employés c’est une sur 3 et moins d’une sur 4 sur les PME plus importante (50 à 250 salariés). Dans ces 2 catégories, 2 sur 5 disposent d’une procédure de réaction en cas d’attaque informatique.
Le secteur santé-administration se déclare d’avantage préparé (42%) que la moyenne, mais ce résultat parait insuffisant, compte tenu des données sensibles qu’il gère.
1/3 seulement des “services aux entreprises” s’estime préparés à des attaques. Or on sait que les attaques majeures de grands acteurs ont fréquemment eu comme origine la faille chez un prestataires ou fournisseur, devenus les talons d’Achille du système.
La moyenne des entreprises ne dispose d’aucun procédure de réaction post-attaque.
Comment les entreprises se protègent-elles?
Cependant, plus d’une entreprise sur 2 (53%) ignorent si ces solutions sont adaptées à ses besoins, et 11% estiment qu’elles ne le sont pas .
Un prestataire pour une entreprise sur 2, et pour 7 sur 10 des petites PME ( 10 à 50 personnes
Les TPE et PME invoque les obstacles suivant pour atteindre un bon niveau de cybersécurité:
- manque de temps (60%)
- manque d’expertise (56%)
- manque de budget: (53%)
- ne savent pas vers qui se tourner (34%)
La solution pratique face à ses freins est le recours à l’externalisation. Sans compétence interne, les petites entreprises recourent à un prestataire pour gérer leur informatique et leur cybersécurité : un artisan ou profession libérale sur 2. Les entreprises de 10 à 50 sont davantage exposées mais souvent sous-staffées en informatique : ce sont elles qui externalisent le plus (7 sur 10)
Recours à un prestataire, en fonction de la taille des entreprises :
Cybermalveillance.gouv.fr a d’ailleurs on le sait développé le réseau des “Experts Cyber”,qui représente 1200 prestataires, dont 200 sont labellisés. Jérome Notin, DG de l’organisation, rappelle qu’ils couvrent tout le territoire: 70% sont basés hors de l’Ile de France. Le réseau “est un enjeu important, une des clés de la sécurisation nationale”, insiste-t-l.
Echapper au “syndrôme du Parcmètre”
Les TPE et PME peuvent penser “on verra plus tard”, face au risque cyber. C’est le “reflexe du parcmètre”, expliquait Franck Gicquel, responsable du Dispositif national d’assistance aux victimes, chez Cybermalveillance. Cette boutade illustre l’attentisme ou le manque de maturité de nombre de responsables de PME/TPE, que le dispositif Impact Cyber compte enrayer.
La campagne de communication vise à pousser à l’action les entrepreneurs, au travers d’affiches, prospectus, bannières et d’un clip de témoignage qui sera diffusé sur les réseaux sociaux. Le Mémento de la Cybersécurité comprend des récits de témoignages et des conseils pratiques.