Un site gratuit des ministères économiques et financiers permet d'évaluer la robustesse des mots de passe, le niveau de protection des domaines de messageries ou encore la politique de sauvegarde des données. Force est de constater que les entreprises sont encore mal préparées aux cyberattaques.
"Votre mot de passe est-il plus solide qu’une vulgaire clef-minute pour un cambrioleur ?", "Vos courriels s’apparent-ils à des cartes postales ou des LRAR ?", "Votre logiciel d’accès au web est-il vraiment à jour ?" En interpellant ainsi les entreprises, le nouveau site de Bercy (www.ssi.economie.gouv.fr) propose de tester leur niveau de protection en cybersécurité. Ce téléservice offre un autodiagnostic gratuit sur la solidité des mots de passe, le niveau de sécurité des serveurs de messagerie, ou encore l’actualisation du navigateur web. Ces mini-tests délivrent un code couleur semblable aux étiquettes énergétiques ou nutriscore. On y trouve également une "caisse à outils PME". Jusqu'à présent, il n'existait pas "véritablement" d'outils concrets et pratiques de ce type, justifie Christian Dufour, haut fonctionnaire de défense et de sécurité, lors d'un point presse mardi dernier.
L’objectif est de "sensibiliser plutôt le cadre dirigeant ou le chef d’entreprise qui n'est pas forcément au fait (...) des connaissances techniques en matière informatique", poursuit-il. Car les petites entreprises sont les plus exposées aux risques cyber. Selon une récente enquête réalisée auprès de structures de moins de 50 salariés, 42% d’entre elles ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques. On dit aussi que ces entreprises sont souvent la porte d’entrée des hackers pour atteindre les plus gros poissons. Et elles sont généralement moins bien préparées aux cyberfraudes.
Des politiques de sauvegarde qui ne tiennent pas la route
Un constat similaire est observé chez les PME et les ETI, membres de l'association des directeurs financiers et de contrôle de gestion (DFCG), qui ont testé la boîte à outils développée par Bercy. Plus de 50% d'entre elles ont un mot de passe qui "se casse extrêmement facilement", ce qui peut entraîner des usurpations d'identité, indique Bruno de Laigue, président du réseau DFCG. De plus, 82% des répondants ont une "très mauvaise" protection de leur domaine de messagerie.
Autre résultat alarmant : 67% des structures qui ont fait l'autodiagnostic ont une politique de sauvegarde "qui ne tient pas la route". Soit il n'existe aucune sauvegarde, soit les sauvegardes sont mal faites. Par exemple, lorsque les serveurs ne sont pas dupliqués : "quand un virus se propage, la première réaction à avoir est de couper le serveur et d'avoir un serveur bis qu'on peut remettre en route", explique Bruno de Laigue. Autres "cas dramatiques" : une sauvegarde a bien été mise en place mais le disque dur a saturé et personne ne s'en est rendu compte, observe Jean-Philippe Papillon, responsable de la cybersécurité des ministères économiques et financiers. Ou encore quand la sauvegarde est associée au compte du responsable informatique qui a ensuite quitté la société et rien n'a été fait. Dernier exemple : des sauvegardes qui ne sont pas intègres donc impossibles à relire.
Peu de fiches réflexes
Par ailleurs, seules 10 entreprises du panel de la DFCG (300 PME et ETI) ont mis en place des "fiches réflexes", à savoir des procédures internes qui permettent de réagir rapidement en cas de cyberattaque. Une lacune qui a porté préjudice au cabinet d'expertise comptable GVA (9 millions d'euros de chiffre d'affaires). En 2015, un collaborateur de cette structure de 80 personnes ouvre un mail avec une pièce jointe contenant un virus qui se propage dans l'ensemble du système d'information du cabinet et crypte tous ses fichiers. "A l'époque, nous n'avions pas de dispositif de protection renforcée ou de protection prévention cyber", admet son dirigeant Philippe Bonnin, venu témoigner lors d'une conférence lundi dernier. Une attaque mal venue. "C'est arrivé à un moment extrêmement important pour le cabinet car c'était pendant les périodes de clôture annuelle", relève Bruno de Laigue.
Et "leur réaction n'a pas été à la hauteur de l'attaque", estime le président du réseau DFCG. Le cabinet a réagi "avec 24h de retard". Après réflexion, il a accepté de payer la rançon de 3 000 euros réclamée par les hackers et a pu récupérer ses données. Un impact financier relativement faible car en 2015 ce type d'attaques commençait juste à émerger. Aujourd'hui, les ransomwares peuvent aller jusqu'à 300 000-400 000 euros voire plus. Cette mésaventure a également coûté au cabinet 7000 euros de dépenses d'honoraires auprès de consultants informatiques extérieurs qui les ont accompagné durant la crise et lui a fait perdre deux jours de travail.
L’objectif est de "sensibiliser plutôt le cadre dirigeant ou le chef d’entreprise qui n'est pas forcément au fait (...) des connaissances techniques en matière informatique", poursuit-il. Car les petites entreprises sont les plus exposées aux risques cyber. Selon une récente enquête réalisée auprès de structures de moins de 50 salariés, 42% d’entre elles ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques. On dit aussi que ces entreprises sont souvent la porte d’entrée des hackers pour atteindre les plus gros poissons. Et elles sont généralement moins bien préparées aux cyberfraudes.
On dit aussi que ces entreprises sont souvent la porte d’entrée des hackers pour atteindre les plus gros poissons. Et elles sont généralement moins bien préparées aux cyberfraudes.