Entre les risques de pertes financières directes, affectant sa trésorerie et menaçant parfois sa survie, et les coûts indirects liés au non-respect de la réglementation sur la protection des données de ses clients ou de ses fournisseurs, il y a urgence pour la TPE à s’équiper de solutions de lutte contre la fraude internet. Certaines d’entre elles sont heureusement peu onéreuses.
Année après année, les spécialistes de la cybercriminalité tirent la sonnette d’alarme. En 2016 par exemple, l’enquête annuelle menée par Euler-Hermes a encore démontré l’accélération des risques encourus sur internet
- 8 entreprises sur 10 ont subi au moins une tentative de fraude (elles n’étaient que 46% en 2011)
- 25% d’entre elles ont subi plus de 10 tentatives de fraudes
- Dans 10% des cas, le coût moyen d’une fraude « réussie » a dépassé les 100 000 euros
Parmi les « stars » en 2016, la fraude au président reste la plus fréquente (59% de citations). Elle consiste à usurper l’identité d’un dirigeant d’entreprise pour convaincre un de ses collaborateurs d’effectuer des virements urgents vers des comptes extérieurs en négligeant les circuits habituels de validation. Ses variantes – faux-clients, faux-fournisseurs – sont tout aussi redoutables.
L’année dernière a vu l’explosion des cyber-attaques et en particulier de la diffusion des fameux rançongiciels (en anglais, ransomware), ces virus qui se diffusent le long d’un réseau informatique et conduisent à un cryptage de l’ensemble des fichiers présents sur le disque dur, les rendant ainsi inutilisables. Ils ont touché 22% des entreprises. Les pirates proposent de « libérer » les fichiers en envoyant une clé de décryptage contre paiement d’une somme de quelques centaines d’euros. Mais le plus souvent, la clé de décryptage n’arrive jamais…
Parmi les autres « risques » en pointe, les attaques en déni de service, qui consistent à assiéger le serveur d’une entreprise en le bombardant de mails par milliers jusque le rendre inutilisable. Avec des conséquences dramatiques pour le chiffre d’affaires s’il s’agit par exemple du serveur hébergeant la logistique de l’entreprise ou son site de vente en ligne.
Le bon sens est nécessaire mais ne suffit plus
Selon l’étude ISTR de l’éditeur de solutions de sécurité Symantec, 43% des attaques ciblait déjà des TPE/PME en 2015. L’institut Ipsos confirme, pour la même période, que « les risques sont connus et confirmés par les petites et moyennes entreprises ». Et que pourtant, « elles ne se protègent pas ou mal face à ces dangers». Dans le même temps, la CGPME a publié en partenariat avec L’ANSSI (agence nationale de la sécurité des systèmes d’information), un Guide des bonnes pratiques de l’informatique.
Quelle que soit la taille de l’entreprise, y compris dans les TPE donc, la réponse à cette menace doit être un alliage de mesures techniques, de formation et de process rigoureux, en particulier dans les circuits de signatures pour les virements de fonds. Parmi les outils et méthodes à retenir :
- Changement régulier des mots de passe sur tous les postes de travail
- Installation d’anti-virus
- Mise à jour des logiciels (patches de sécurité)
- Sauvegarde régulière des données
- Protection de tous les terminaux et périphériques, y compris les smartphones ou les imprimantes
- Utilisation de logiciels uniquement référencés par les éditeurs – à l’exclusion notamment de ceux proposés à moindre prix sur des sites à la provenance inconnue.
- Information du personnel sur les tentatives de fraude déjouées, pour rendre « palpables » les menaces
- Passation de contrat auprès d’un des nombreux assureurs qui commencent à proposer des garanties spécifiques, avec des remboursements –limités – des frais directs (solutions techniques) et indirects (pertes d’exploitation sur un site de e-commerce par exemple) en cas de fraude. Ils disposent surtout de hotlines avec des experts capables d’aider la TPE à résoudre le problème à distance.
La TPE peut aussi se rapprocher de son opérateur télécoms pour lui confier l’hébergement de ses serveurs les plus critiques. L’avantage de cette solution, qui ne coûte que quelques dizaines d’euros par mois, est de déléguer à des experts de la sécurité la protection de ces ressources précieuses, qui seront en particulier immunisées contre les attaques de virus ou en déni de service. La limite de ces offres – pour l’instant -, vient de ce qu’elles ne prennent pas la main sur les postes de travail des collaborateurs, qui restent donc susceptibles de cliquer sur un mail frauduleux ou de brancher une clé USB infectée sur leur ordinateur. Elles ont cependant le mérite de suppléer la petite entreprise sur un pan important de sa politique de sécurité, lui libérant du temps qu’elle pourra consacrer à la pédagogie vers ses équipes et la mise en place de process rigoureux.
La négligence va coûter encore plus cher dès mai 2018
Le 25 mai 2018, le nouveau RGPD (règlement général sur la protection des données) entre en vigueur. Il impose à toutes les entreprises, même les TPE, de prendre des mesures en amont pour éviter le vol des données personnelles qu’elles récoltent auprès de leurs clients et fournisseurs (informations d’état-civil, données bancaires, etc). Si une fraude se produit néanmoins, elles doivent en informer les victimes sous 72 heures, et s’acquitter de pénalités pouvant s’élever jusqu’à 4% de leur chiffre d’affaires.
Avec la digitalisation de l’économie, de nombreuses entreprises ont des données dans le cloud, parfois sans le savoir : par exemple, dans un Google docs pour le partage de documents, ou dans un espace de stockage à distance. Il va donc leur falloir s’assurer que leur fournisseur a pris toutes les mesures de protection de leurs données, car en cas de vol, elles seront tenues pour co-responsable des conséquences du sinistre.