En 2023, 53 % des entreprises ont subi une cyberattaque, selon le rapport Hiscox, en augmentation de cinq points par rapport à l’année précédente. Le coût moyen d’une cyberattaque est de 14 720 euros, en 2023, contre 15 640 euros, en 2022. Mais « une entreprise sur huit rapporte des coûts dépassant les 230 000 euros », indique le site gouvernemental Data.gouv, qui relaie l’observatoire de la société d’assurance pour professionnels Hiscox, « soulignant ainsi la gravité des cyberattaques les plus destructrices ». Et ces capacités de cyberattaque sont aujourd’hui décuplées par l’intelligence artificielle.
La question n’est donc pas de savoir si un jour son entreprise sera victime d’une cyberattaque. Mais bien quand ? « Il y a encore pas mal d’entreprises qui sont dans le déni sur le fait que cela puisse arriver », convient maître Floriane Petitjean, avocate en droit des affaires au cabinet Fidal. D’ajouter : « Il y a une croyance que, comme on est une PME ou une TPE, on n’intéresserait pas la cybercriminalité. » C’est contre ces préjugés qu’elle intervient, ce mardi 29 avril, à l’occasion d’un événement de la CPME Nord Franche-Comté (s’inscrire ici), en compagnie notamment de l’agence nationale de la sécurité des systèmes d’information (Anssi). L’évènement donnera des pistes pour se protéger et rappellera également les droits et obligations.
Les bons réflexes pour se prémunir des cyberattaques
Les entreprises sont peu équipées techniquement et peu sensibilisées à la question. Comme c’est un risque qui n’est pas matériel, « on n’en prend pas toute la mesure », alerte l’avocate. Pourtant, les conséquences peuvent être très graves : financières ; arrêt de la production ; réputationnelle, rompant le lien de confiance avec ses fournisseurs ou ses clients.
Les attaques cyber peuvent être variées : hameçonnage ; virus ; rançongiciel ; ou encore arnaque au président. Pour cette dernière, les criminels usurpent une partie de l’identité du dirigeant en collectant des données, notamment personnelles, pour renforcer leur récit. Ensuite, ils appellent par exemple un salarié de l’entreprise, en charge de la comptabilité, en lui demandant de faire un virement, pour acquérir une autre entreprise. Il faut forcément le faire de manière « urgente », « n’en parler à personne », car c’est « confidentiel ». On le fait, sous la pression.
Autre exemple, cité par maître Floriane Petitjean, subi par une entreprise de la région. La société reçoit un mail de l’un de ses fournisseurs. Celui-ci l’avertit d’un changement de RIB pour les paiements… Mais il y a une subtilité dans l’adresse mail… une lettre change. Ce n’est finalement pas le vrai fournisseur. « Les fonds ont été envoyés à l’étranger et l’entreprise n’a jamais revu l’argent », indique l’avocate.
Culture du risque cyber
La première étape, note maître Floriane Petitjean, c’est de sensibiliser. L’être humain est souvent la première porte d’entrée d’une cyberattaque. Former réduit les risques : mettre en garde sur l’ouverture des pièces jointes de mails inconnus ; ne pas recharger son téléphone dans une gare ; ne pas transmettre des coordonnées bancaires par téléphone. Pour amener les équipes, il faut que ce soit ludique assure maître Floriane Petitjean. Si c’est trop abstrait, on ne mesure pas le risque. « Si c’est vivant, les salariés peuvent trouver cela intéressant, car ça peut leur être utile individuellement », assure l’avocate. Cela donne « de bons réflexes dans sa vie quotidienne », garantit-elle. Qui n’a pas reçu, ces derniers mois, des SMS invitant à cliquer sur un lien pour réceptionner son colis, commandé sur une plateforme de e-commerce ? Il faut sensibiliser aux méthodes, aux risques et aux attitudes à adopter.
C’est une nouvelle culture du risque à transmettre aux dirigeants. Il existe des process pour réagir à un incendie, un vol, une inondation… Cela doit être aujourd’hui décliné pour une cyberattaque. Comme dois-je réagir ? Comment j’agis ? Comment je communique ? « Peu d’entreprises sont assurées contre ce risque, relève encore maître Floriane Petitjean. Et si elles le sont, elles ne savent pas forcément qu’il faut le déclarer dans les 72 heures. » Autant de points qui seront soulevés ce mardi par des experts de la question.
- Mardi 29 avril, de 8 h à 10 h 30. « Cybercriminalité : comment se protéger ? Quels sont vos droits et vos obligations ? ». À La JonXion, à Meroux-Moval. Lien d’inscription : https://docs.google.com/forms/d/e/1FAIpQLSevJPofyucu1wSxRiQUC4orexfjdqdEzR3YACcfYyLUmDqDPQ/viewform
