Comme les grands comptes, les PME sont victimes de cyberattaques. Qu’elles soient ciblées ou non, ces attaques doivent faire l’objet d’une communication rapide et efficace auprès des clients et utilisateurs dès lors qu’ils sont impactés.
Les PME sont susceptibles d’être victimes de deux grands types de menaces : « Les attaques non ciblées, diffuses, notamment via les ransomwares, et les menaces ciblées prenant la forme par exemple de fraude au président ou de piratage pour voler des données. Dans un cas comme dans l’autre, les PME victimes doivent adopter une attitude responsable vis-à-vis des clients, des utilisateurs et des fournisseurs pour que leur image ne pâtisse de trop de ce désagrément » explique Gérôme Billois, senior manager sécurité chez Wavestone.
Ainsi, dans le cas d’une attaque non ciblée, dont la conséquence est bien souvent un blocage du système d’information, la PME doit, dès lors que la remise en état de fonctionnement n’est pas rapide, informer les consommateurs et les clients d’un retard de livraison ou de production.
« Dans le cas d’une activité BtoC par exemple, l’emballement sur les réseaux sociaux peut rapidement prendre une ampleur conséquente. Il est donc important pour l’entreprise de lancer une campagne de communication pour rassurer les clients en insistant sur le dysfonctionnement informatique et non sur l’attaque en elle-même. Si l’incident est maitrisé rapidement et qu’il n’y a pas de fuites de données, il n’y aura aucune conséquence sur l’image de l’entreprise », indique Gérôme Billois.
Pour restaurer son système d’information, la PME peut soit le faire en interne soit solliciter un cabinet spécialisé ou encore son assureur. « Quelle que soit l’attaque subie et si elle souhaite porter plainte, l’entreprise doit collecter et conserver avec soin les preuves de cette cyberattaque » insiste notre expert.
Dans le cas d’une attaque ciblée impliquant un vol de données à caractère personnel, la PME (sauf si elle a un statut d’opérateur télécom) n’a pas aujourd’hui d’obligation d’informer ses clients ou partenaires, ceux-ci n’étant pas impactés par la malveillance. « D’ailleurs, il n’existe pas de chiffres fiables sur la cybercriminalité, car les entreprises n’en parlent pas ou ne déposent pas plainte ».
Des attaques venant parfois de l’intérieur
Autre type de cyberattaques ciblées, celles générées par les collaborateurs qui, bien qu’ayant quitté l’entreprise, piratent les données grâce à leurs droits d’accès toujours actifs aux solutions hébergées dans le Cloud.
« Bien que faciles à régler – il suffit de bloquer les droits d’accès –, ces malveillances ne sont pas facilement détectables. La PME peut s’apercevoir de cette intrusion quand, par exemple, elle remarque que ses concurrents anticipent ou suivent de manière proche ses actions commerciales ou quand elle perd plusieurs appels d’offres au bénéfice de son concurrent chez qui exerce justement le collaborateur ». Là aussi il règne une certaine omerta sur ces cyberattaques, car les entreprises n’aiment pas révéler leurs défaillances internes.
Toutefois, dès 2018, le nouveau règlement de l’Union européenne, la RGPD (Règlement Général sur la Protection des Données) obligera les entreprises à notifier à l’autorité de contrôle le piratage des données à caractère personnel sans délai ou au plus tard dans les 72 heures qui suivent la violation.
« Pour tenter de réduire au maximum tout risque de cyberattaque et de blocage de leur SI, les PME doivent non seulement déployer les outils constituant le socle de la sécurité informatique (antivirus, pare-feu, authentification, mots de passe complexe…), mais aussi s’assurer de la sauvegarde et de la capacité de restauration des données » conclut notre interlocuteur.
