PME et sécurisation des données, Cyberattaques

Les alertes de sécurité se multiplient pour les PME mais aussi les grands groupes et les administrations. Les Cyberattaques entraînent des coûts parfois très lourds pour les entreprises. Cependant,  les solutions « secure » demeurent très techniques et complexes à mettre en place.

Selon le sondage de l’ Ifop pour Stoïk en mars 2023, les cyberattaques sont devenues une réalité pour 1 PME sur 10, et près d’un tiers se sentent menacées. 11% des PME ont déjà été la cible d’une cyberattaque. Si ces attaques touchent davantage les plus grandes entreprises appartenant à cette catégorie (20% des entreprises de 100 à 200 salariés et 23% des entreprises de 200 à 250.

Pourtant,  les plus petites d’entre elles : une sur dix a déjà été ciblée. 89% des PME ont l’impression que leurs données sont protégées. La souscription à une assurance cyber participe à rassurer les entreprises. Cependant 89% des PME se disent satisfaites de la protection de leurs données professionnelles,. A noter que ce sentiment est quasi-unanime parmi les entreprises qui ont souscrit une assurance contre les risques cyber (97%).

L’objectif est de donner accès au système d’information par une identification puis par une authentification.

L’identification et l’authentification

L’identification doit permettre d’établir l’identité de l’utilisateur ou « login ». L’authentification est supposée apporter la preuve de l’identité de l’utilisateur (suis-je réellement cette personne) et se présente sous la forme d’un code secret le plus souvent appelé « mot de passe ». Ainsi chaque utilisateur a au moins un « Login/password » réputé n’être connu que de lui.

Le mot de passe complexe, un incontournable

Il est recommandé de choisir des mots de passe complexes ayant une longueur significative. Ils doivent être composé de plusieurs caractères et autres signes du type : As,C.@é7k°#. Évidemment, il faut obligatoirement s’en souvenir sous peine de ne pas pouvoir accéder au système d’information. Que dire s’il faut mémoriser plusieurs mots de passe de ce type !

L’écoute en ligne, l’observation d’un utilisateur lors d’une demande de connexion, l’utilisation de logiciel « espions » permettent cependant de connaître le Login/password d’un utilisateur et peuvent conduire au partage d’identité ou à l’usurpation d’identité.

Vers un renforcement de l’authentification

C’est ainsi qu’est née l’idée de construire une authentification forte permettant de pallier ces risques. Aujourd’hui, les solutions s’appuyant sur des ajouts de logiciel(s) et/ou de matériel(s) se multiplient. Elles permettent d’apporter un troisième et/ou un quatrième vecteur lié à « ce que je possède » (carte à puce, … ) ou « ce que je suis » (empreinte biométrique).

Dans le domaine de la biométrie, le profil comportemental d’un utilisateur peut maintenant être réalisé par utilisation de sa dynamique de frappe sur le clavier de son poste de travail, procédé que l’on retrouve dans les médias sous le nom de « Frappologie ». Ce procédé ne nécessite aucun ajout de logiciel et/ou matériel sur le poste de travail et aucune modification dans le comportement de l’utilisateur. En l’occurrence, il s’agit d’une application de calculs probabilistes qui recueille, sur un serveur distant sécurisé, des informations de mesures de temps effectuées par observations de la frappe sur le clavier. Elle permet ainsi de déterminer un profil de l’utilisateur relevant de la biométrie comportementale.

Il est important que le poste de travail soit équipé d’un antivirus permettant de neutraliser les logiciels « espions » de type « Keylogger » bien souvent téléchargés à l’insu de l’utilisateur. Ainsi, même si un tiers connaît le login/password d’un utilisateur, il ne pourra passer avec succès le test de la comparaison au profil de l’utilisateur concerné et sa demande d’accès sera rejetée.

En France, dans le souci du respect de la vie privée, la CNIL (Commission Nationale de l’Informatique et des Libertés) impose l’obtention d’une autorisation pour l’exploitation de ce type d’application permettant de définir, de stocker et d’utiliser un profil relevant de la biométrie comportementale.

Les PME sont particulièrement vulnérables aux Cyberattaques

L’Afnic met en lumière des indicateurs sur l’intégration de mesures de sécurité et de protection des données. Certes, il existe une sensibilisation aux risques. Cependant, celle-ci doit être consolidée pour favoriser une plus grande adoption d’outils et de bonnes pratiques. Les TPE/PME ne sont que 

  • 42 % à réaliser une sauvegarde régulière de leurs données (pages, bases de données…) 
  • 31 % de leur configuration (système, CMS…).

 Quant aux mesures de protection mises en place pour accéder à leur site internet :

  • 42 % ont déployé des solutions de sécurité type pare-feu ou antivirus. Ce pourcentage passe cependant à 85 % chez les PME 
  • 41 % réalisent des mises à jour régulières des correctifs de sécurité (système, logiciels, extensions…)
  • 76 % affirment avoir des mots de passe robustes, seules 10 % déclarent réaliser des audits de sécurité. 

Un bouclier cyber et un outil de diagnostic 

La cybersécurité est aussi au cœur des préoccupations du gouvernement en France. On note le lancement en novembre 2022 d’un « bouclier cyber » pour les PME et des collectivités. Également, un numéro d’urgence le 17 cyber, un outil d’autodiagnostic.

Fin mars 2023, BPI France a également lancé un outil de diagnostic permettant aux PME d’évaluer leur exposition à une attaque. Il permet de prendre des mesures correctives.

Votre Expert-Comptable, tiers de confiance est à même de vous mettre cet outil à disposition ou inscrivez-vous et une réponse circonstanciée vous sera faite.

Quitter la version mobile