APAVE_G_CYBER

Dirigeants de TPE/PME

Depuis plus de 150 ans, Apave accompagne les organisations pour développer leur maîtrise des risques humains, techniques et environnementaux. Le monde évolue rapidement et le numérique transforme la façon dont chacun exerce son métier.

Apave a fait l’acquisition en 2021, des sociétés OPPIDA et LSTI, deux spécialistes de la cybersécurité. Grâce aux compétences, aux solutions et aux accréditations de ces deux spécialistes, combinées aux expertises historiques d’Apave, le groupe accompagne aujourd’hui ses clients avec des solutions concrètes de gestion et de prévention des risques numériques.

Or, depuis plusieurs années, le constat est sans appel : le nombre de cyberattaques est en constante augmentation et les TPE/PME, qui sont une cible régulière, sont globalement mal préparées à ces attaques. C’est la raison pour laquelle, nous avons souhaité donner la parole aux dirigeants de TPE/PME pour identifier leur niveau de maturité et leurs besoins prioritaires avec des données objectives. Pour cela, Apave a mené une enquête en ligne fin 2021, durant 5 semaines, auprès d’un panel de clients.

L’analyse des résultats que nous allons vous partager est éloquente : la majorité des dirigeants de TPE/PME ne se sentent pas concernés par le risque de cyberattaque. Pour les 30% qui s’en préoccupent, le passage à l’action reste compliqué pour ces petites structures, car elles font face, par ailleurs, à de nombreux défis.

Le monde VUCA [Volatile, Ambigu, Complexe et Incertain] est désormais une réalité avec laquelle nous devons composer : la crise sanitaire de la Covid 19, la guerre en Ukraine et ses conséquences économiques et politiques et l’accélération des interactions digitales en sont des illustrations concrètes et indiscutables.

Les risques numériques font désormais partie intégrante des enjeux auxquels chaque entreprise doit faire face pour se protéger et assurer la confiance de ses clients et de ses partenaires. Ce constat est valable aussi bien pour les grands groupes que pour les TPE/PME, qui font de plus en plus l’objet de cyberattaques, sans avoir les moyens colossaux que les entreprises du CAC40 mobilisent.

Vous êtes dirigeant d’une TPE/PME ? Ce livre blanc a été élaboré par les experts APAVE et sa filiale OPPIDA pour répondre à votre réalité et à vos contraintes opérationnelles. Notre objectif : vous donner les moyens de passer à l’action avec des préconisations pragmatiques et simples à activer.

Pour cela, nous nous sommes notamment mis à votre place et ce livre blanc est l’occasion d’identifier tous les impacts du risque cyber sur l’activité de 3 dirigeants de TPE/PME. Venez rencontrer Alexandra (fleuriste), Fabrice (dirigeant d’une entreprise de BTP), et Antoine (dirigeant d’une entreprise agro-alimentaire), pour vous projeter dans cette nouvelle réalité de maîtrise des risques numériques.

Bonne lecture !

Édito

ZOOM SUR L’ENQUÊTE

Dirigeants de TPE/PME & risque cyber : favoriser la prise de conscience pour passer à l’action

Périmètre

des questions :

L’enquête comporte 26 questions sur la thématique de la cybersécurité :

• L’exposition de l’entreprise

• Les événements redoutés

• Les attaques subies

• Les initiatives, pentests et plans d’actions mis en œuvre.

Répondants

L’enquête a été menée auprès d’un échantillon de dirigeants de TPE/PME, tous secteurs d’activité confondus. 255 dirigeants ont répondu à l’intégralité de l’enquête.

Période

Octobre à Novembre 2021

Retrouvez les résultats de notre enquête tout au long de ce livre blanc*.

SOMMAIRE

p. 3

Les conséquences d’une cyberattaque pour une TPE/PME et son dirigeant (ou son équipe dirigeante) Évaluer le risque et en prendre conscience collectivement

Les premières mesures à activer pour parer au plus urgent Se prémunir contre les cyberattaques les plus courantes et sensibiliser vos salariés

La cyber protection au cœur de votre activité Déterminer vos priorités pour mettre en place votre propre plan d’actions

1État des lieux de la prévention du risque cyber dans les TPE/PME Comprendre le risque cyber et les raisons de s’en inquiéter p. 5 p. 7 p. 10 p. 12

La valorisation de vos actions de prévention Valoriser votre démarche par la labellisation, gage de confiance pour vos partenaires

Chaque entreprise, quelle que soit sa taille ou son secteur d’activité, est une cible potentielle pour les cybercriminels. Cette réalité structurelle est pourtant encore trop peu comprise et intégrée par les dirigeants de TPE/PME, qui se perçoivent comme des cibles non prioritaires pour les hackers. La réalité est toute autre, les chiffres montrent que nous sommes tous et toutes concerné(e)s.

Le dernier rapport de cybermalveillance.gouv.fr constate une hausse importante des demandes d’assistance en ligne. Cette plateforme d’aide aux victimes de cybercriminalité a enregistré + de 173 000 demandes en 2021, soit +65% par rapport à l’année précédente.

Seulement 30% des dirigeants de TPE/PME interrogés déclarent être sensibilisés au risque cyber et avoir pris conscience des enjeux associés.

En dépit de cette recrudescence chiffrée et incontestable, les résultats de notre étude montrent que

Près de

TPE/PME

SONT CONVAINCUES

Parmi les principales craintes, la paralysie du système informatique arrive en 1ère position à 67% :

ÉVÈNEMENTS REDOUTÉS

Une interruption de service ou une paralysie de votre système informatique

Le vol de données

Un cambriolage de vos locaux

Une action malveillante qui compromette l’intégrité de vos opérations

Il est donc urgent d’opérer un changement majeur et rapide dans cette croyance un peu naïve, qui voudrait qu’une entreprise de moins de 10 salariés soit à l’abri de toute attaque cyber, car peu intéressante pour des hackers : il n’en est rien ! Il est essentiel que vous puissiez poser un regard neuf sur le sujet du risque numérique, pour vous donner toutes les chances d’y faire face, en étant rassuré et serein sur votre capacité à protéger vos systèmes, vos données et vos savoir-faire.

*Source Revue de la

Découvrez les expériences vécues par nos 3 témoins clés, pour projeter la réalité des impacts d’une cyberattaque dans le quotidien d’entrepreneurs et dirigeants de TPE/PME.

ILS TÉMOIGNENT

Alexandra, 28 ans, habite à Lyon.

Elle est fleuriste et gère aujourd’hui 5 boutiques et 12 salariés. En parallèle, elle développe sa visibilité sur les réseaux sociaux et possède son propre site de e-commerce.

J’ai lancé mon site dédié à la vente en ligne de bouquets il y a un an, et le nombre de commandes était en constante augmentation. Le mois dernier, j’étais étonnée de ne plus recevoir de commandes via ce flux... J’ai consulté notre site web et je me suis retrouvée face à des messages à caractère raciste, qui avaient pris place en 1ère page ! Et bien entendu, il était impossible de passer commande... le site était entièrement bloqué ! Imaginez l’impact sur l’image de mon entreprise, qui porte mon nom, sans compter la perte de chiffre d’affaires !

Fabrice, 54 ans, habite à Toulouse.

Il est dirigeant d’une entreprise de BTP depuis 12 ans, et compte aujourd’hui près de 60 salariés. Il travaille principalement en sous-traitance pour de grands acteurs des travaux publics.

Mon chef de chantier a reçu un email en provenance d’un établissement public, pour répondre à un appel d’offres. Le message était tout à fait crédible, il a donc cliqué et complété le formulaire en ligne. Heureusement, il a eu un doute à la réception du soit disant «cahier des charges». Il n’a donc pas ouvert la pièce jointe. Il s’agissait en effet d’un ransomware. Nous avons pu réagir rapidement pour éviter le blocage de notre système informatique, qui aurait pu être dramatique pour notre entreprise…

Antoine, 48 ans, habite à Lille.

Il est dirigeant d’une entreprise agro-alimentaire depuis plus de 15 ans, et compte aujourd’hui plus de 90 salariés. Il travaille uniquement en BtoB, pour de grandes enseignes.

Mon service comptabilité a reçu un email dans lequel je demandais de faire un virement en urgence pour la régularisation d’une facture, auprès d’un partenaire stratégique. Le message était si bien rédigé qu’ils ne se sont pas posés de questions particulières et le virement a été effectué Une grosse somme pour nous bien sûr, et le sentiment de ne plus pouvoir faire confiance à notre système informatique au quotidien !

LES CONSÉQUENCES D’UNE CYBERATTAQUE POUR UNE TPE/PME ET SON DIRIGEANT (OU SON ÉQUIPE DIRIGEANTE)

ÉVALUER LE RISQUE POUR VOTRE ENTREPRISE ET EN PRENDRE CONSCIENCE COLLECTIVEMENT

OBJECTIF

Dans un premier temps, nous vous invitons à vous projeter en situation de cyberattaque : prenez 5 minutes pour identifier les impacts sur votre propre activité, au regard de cette mise en situation critique.

Comment gérez-vous votre activité dans le cas où …

On a volé votre base clients et vos clients reçoivent des mails frauduleux au nom de votre entreprise

Vous ne recevez plus le flux des commandes de vos clients

Votre système de facturation est inaccessible

Votre boite mail a été piratée et vous ne pouvez plus y accéder

Votre système informatique est entièrement bloqué et une rançon est demandée pour son déblocage

Et si vous faisiez un état des lieux des vulnérabilités au sein de votre entreprise ?

Les cyberattaques constituent un risque avéré pour tout acteur économique. Quelles sont les potentielles portes d’entrée accessibles aux cybercriminels au sein de votre organisation ? Nous vous proposons de lister les éléments de votre entreprise qui pourraient être ciblés par les cyber attaquants. Ils sont de 3 grands types :

Vos équipements et logiciels (ordinateurs, box internet, imprimantes, téléphones, site internet…)

Les données que vous stockez au sein de vos différents services (données clients & fournisseurs, factures, contrats, fiches de paie…)

Les personnes qui ont accès aux équipements et aux données (collaborateurs internes et interlocuteurs externes - votre mainteneur informatique par exemple)

Ces 2 courts exercices visent à vous faire prendre conscience des conséquences directes d’une cyberattaque dans votre propre contexte :

Perte financière : directe (détournement de fonds, ransomware) ou indirecte (blocage des flux ou de votre site internet par exemple)

Vol ou destruction de données, méthodes ou encore brevets

Perte de confiance de vos clients et partenaires  Dégradation de l’image de votre entreprise

50%

DES VOLS DE DONNÉES CONCERNENT LES PRODUITS ET LES CLIENTS

Mon site de e-commerce est de nouveau actif, mais les ventes ont chuté...

Je dois reprendre le développement de ce business depuis le début, comme si nous venions de créer le site...

C’est tellement dommage !

Quand on devient la cible d’un cyber attaquant, cela nous amène à nous poser de véritables questions sur notre sécurité et notre plan d’actions !

Sommes-nous réellement protégés ?

Fabrice (BTP)

Alexandra (fleuriste)

On se dit toujours que ça n’arrive qu’aux autres, que notre entreprise est trop petite pour être ciblée. Quand vous le vivez une fois, vous comprenez malheureusement trop tard qu’il n’en est rien. Comment faire de nouveau confiance à notre système informatique ?

Antoine (agroalimentaire)

55%Plus de

DES ATTAQUES PORTENT SUR L’ENSEMBLE DU SYSTÈME INFORMATIQUE DE L’ENTREPRISE

LA PRÉVENTION DU RISQUE CYBER EST DÉSORMAIS INSCRITE DANS VOS PRIORITÉS : mais comment s’y prendre pour lancer des actions et pallier les éventuelles faiblesses ?

LES PREMIÈRES MESURES À ACTIVER POUR PARER AU PLUS URGENT

OBJECTIF

SE PRÉMUNIR CONTRE LES CYBERATTAQUES LES PLUS COURANTES ET SENSIBILISER VOS SALARIÉS

Au fur et à mesure de votre lecture et des exercices pratiques que nous vous avons proposés précédemment, vous avez pris conscience de votre vulnérabilité.

Notre prochaine mission consiste à identifier les premières actions à mettre en place au sein de votre entreprise. Au surplus de mesures de prévention, il vous appartient également de prévoir et anticiper les impacts d’une potentielle cyberattaque afin de limiter les dégâts qu’elle pourrait générer sur votre organisation.

1. Sécuriser les points d’accès

Pour ce faire, vous devez sécuriser les principaux points d’accès :

Vos équipements & logiciels

Effectuez un état des lieux de vos outils et logiciels (anti-virus par exemple) et vérifiez leur bon fonctionnement et leur mise à jour régulière. Tous vos logiciels doivent en effet systématiquement être mis à jour des dernières versions, qui incluent notamment des correctifs protégeant des menaces les plus courantes.

À la suite de cette attaque, qui m’a particulièrement heurtée, j’ai sollicité un prestataire pour réaliser un test d’intrusion de mon site internet, afin d’identifier et faire corriger les problèmes de sécurité du site avant sa réouverture et éviter que tout incident ne puisse se reproduire !

Alexandra (fleuriste)

Vos données

Vérifiez où sont stockées vos données et à quelle fréquence elles sont sauvegardées. Cette action permet notamment de retrouver vos bases en cas de perte, de vol ou de destruction de vos données.

Vos salariés

Des règles simples peuvent être rappelées régulièrement afin de sensibiliser l’ensemble de votre personnel à ce risque spécifique :

Les mots de passe sont-ils difficiles à décrypter ? À quelle fréquence sont-ils modifiés ? Sont-ils rédigés en parallèle sur des post-its ?

Les mises à jour de logiciel, qui nécessitent une validation manuelle par l’utilisateur, sont-elles effectuées systématiquement ?

Les sites internet, utilisés dans le cadre de leur mission, sont-ils protégés ?

LONG

minimum 12 caractères

LE SAVIEZ-VOUS ?

La majorité des cyberattaques réussies proviennent d’une erreur humaine !

PÉRIODIQUE COMPLEXE

doit être modifié régulièrement

LES 5 RÈGLES D’OR POUR UN MOT DE PASSE ROBUSTE

INCOMPRÉHENSIBLEUNIQUE

ne doit pas être utilisé pour différentes connexions

comporte des majuscules, minuscules, chiffres et caractères spéciaux ne doit pas ressembler à un nom propre

En tant que dirigeant d’entreprise, il est de votre responsabilité d’inciter vos salariés à adopter une vigilance quotidienne vis à vis du risque de cyberattaque.

Pour cela, mettre en place un processus de sensibilisation auprès de l’ensemble de vos collaborateurs peut être un levier simple à activer et efficace pour que le message soit partagé et compris de tous !

Après l’incident provoqué involontairement par notre chef de chantier, j’ai réuni tous les salariés pour rappeler quelques règles de bonne pratique. Ce n’est pas mon cœur de métier, et je sens bien que mon discours n’est pas suffisant. Une formation plus complète serait sans doute utile.

Fabrice (BTP)

Selon leur fonction, certains salariés peuvent être amenés à suivre des formations plus spécifiques car ils traitent quotidiennement des données sensibles pour l’entreprise. La direction financière ou la direction des ressources humaines en sont des exemples.

38%Seules

DES ENTREPRISES INTERROGÉES AFFIRMENT

AVOIR MIS EN PLACE DES ACTIONS DE SENSIBILISATION AUPRÈS DU PERSONNEL

2. Réagir en cas d’attaque avérée

Ransomware(s)

La technique du Ransomware bloque l’accès à l’intégralité ou à une partie du système informatique de l’entreprise qui en est victime, jusqu’au paiement d’une rançon demandée par le cyber attaquant.

Nos résultats sont en adéquation avec les publications du site cybermalveillance.gouv.fr, qui positionne le « ransomware » en tête des principales menaces rencontrées par les entreprises et les collectivités. Cette typologie d’attaque a explosé en 2019 et 2020, pour se stabiliser à 192 officiellement déclarée en 2021.

RÉAGIR

INFORMER

ANTICIPER

AU

DÉTERMINER VOS PRIORITÉS POUR METTRE EN PLACE VOTRE PROPRE PLAN D’ACTIONS

Parmi les personnes n’ayant pas mis en place de plan d’actions :

indiquent qu’elles ne savent pas par où commencer leur plan d’actions cybersécurité, 28% estiment le sujet non prioritaire.

Vous

savez pas

Le conseil Apave #1 : protéger vos équipements & logiciels

Afin d’évaluer le niveau de protection numérique de votre entreprise, vous pouvez réaliser un diagnostic de sécurité ou encore un pentest.

Pentest : KESAKO ?

Le pentest (également appelé test d’intrusion ou test de pénétration) est une technique d’audit consistant à tester la vulnérabilité d’un système informatique, d’une application ou d’un site web, en détectant les failles susceptibles d’être exploitées par un hacker ou un logiciel malveillant.

Il est recommandé de faire appel à un expert externe qui se positionnera comme tiers de confiance afin d’effectuer ces différentes démarches. L’expert aura d’une part un rôle neutre vis à vis de votre entreprise, mais posera également un regard sans parti-pris sur les équipements que vous utilisez.

Dans la mesure du possible, il est conseillé d’avoir recours à des exercices fictifs de manière périodique pour conforter votre protection et corriger si besoin vos actions selon des indicateurs prédéfinis.

DES TPE-PME INTERROGÉES

Le conseil Apave #2 : mobiliser vos salariés

La cyber-hygiène : KESAKO ?

Cette expression est née de l’impérieuse nécessité de suivre des règles de comportement adéquates quant à la sécurité des informations sensibles et des outils informatiques.

Elle peut donner lieu à une charte informatique qui devra être diffusée et appliquée par vos salariés.

Une manière de leur faire adopter les bons réflexes et de les faire durer dans le temps !

58%

DES ENTREPRISES VONT DÉMARRER LEUR PLAN D’ACTIONS CYBERSÉCURITÉ PAR DE LA SENSIBILISATION AUPRÈS DE LEURS SALARIÉS

En cas de départ d’un salarié, pensez à faire un contrôle de ses équipements informatiques et des données qu’il possède sur ces équipements. Il faut également vous assurer qu’il ne part pas avec les codes d’accès à ces informations.

Le droit du travail vous aide en ce sens puisque vous pouvez, par exemple, contrôler l’ordinateur professionnel d’un salarié et vérifier les informations professionnelles qu’il détient dessus.

LE SAVIEZ-VOUS ?

Vos salariés peuvent être sensibilisés au risque de cyberattaque grâce à une formation au format eLearning ! Cette modalité pédagogique leur permet de s’affranchir d’un déplacement en centre de formation.

POUR ALLER PLUS LOIN…

Les actions que vous mettez en place en matière de cybersécurité peuvent faire l’objet d’une labellisation puisque vous implémentez un savoir-faire cyber-responsable au sein de votre entreprise.

Faites-le savoir auprès de vos partenaires !

LA VALORISATION DE VOS ACTIONS DE PRÉVENTION5

OBJECTIF

CONFORTER VOTRE DÉMARCHE DANS LE TEMPS ET LA VALORISER PAR UNE LABELLISATION, GAGE DE CONFIANCE POUR VOS PARTENAIRES

De plus en plus de grands acteurs exigent de leurs partenaires de répondre à un cahier des charges précis en matière de sécurité informatique et de protection des données sensibles. Envisager une démarche de labellisation rassurera vos clients, fournisseurs et partenaires, et deviendra sans nul doute un avantage face à vos concurrents.

Pourquoi une labellisation ?

La labellisation permet d’officialiser la qualité de votre démarche en matière de cybersécurité.

Elle est réalisée par un organisme tiers de confiance.

Elle prouve à vos clients et partenaires que vous avez mis en œuvre des actions pour répondre aux exigences en matière de cybersécurité : vos outils et logiciels sont sécurisés, vos données protégées et vos collaborateurs formés.

Obtenir une labellisation signifie que vous vous engagez dans le temps à respecter ces exigences.

Comment se passe un processus de labellisation ?

Il comporte des prérequis auxquels vous devez vous conformer.

La labellisation comporte un audit de votre structure, des tests type intrusion et scénario de phishing et le suivi validé du programme de sensibilisation de vos salariés.

Elle est généralement limitée dans le temps. Renseignez-vous auprès de votre interlocuteur pour anticiper son renouvellement.

Notre attaque par phishing nous a fait prendre conscience du dispositif plus solide et sécurisé à mettre en place. Dans le bâtiment public, c’est indispensable de conserver une véritable confiance entre les différentes parties-prenantes. Une mauvaise action et votre société peut perdre la confiance de l’ensemble de ses partenaires !

Fabrice (BTP)

Si je souhaite conserver cette relation de confiance avec mes partenaires, qui sont principalement de grandes enseignes dans la distribution, je n’ai pas d’autres choix que de mettre en place des processus stricts. Si je peux les valoriser, c’est encore mieux !

Antoine (agroalimentaire)

NOTRE MÉTIER, C’EST DE PERMETTRE À NOS CLIENTS

LE LEUR EN TOUTE SÉCURITÉ.