La France pas prête face au risque de cyberattaques? Les PME sommées de renforcer leur sécurité

Face à la menace de cyberattaques, le Sénat examine ce mardi un projet de loi pour renforcer les obligations des entreprises en matière de cybersécurité. Car la menace numérique, c'est comme pour la santé des salariés en entreprise ou le risque incendie. On demande de plus en plus aux patrons de répondre à des obligations de sécurité.

Le projet de loi entend élargir le nombre d’entreprises concernées par des obligations de 500 à 15.000 boîtes. Dix-huit secteurs d’activité critiques sont définis: la finance, les transports, l’énergie et les télécoms entre autres. Ces entreprises devront apprendre à gérer le risque. Se préparer et se protéger contre la menace cyber. Elles seront aussi obligées de déclarer tout incident de sécurité ou toute brèche identifiée dans leurs systèmes.

En cas de non-respect de la loi, des amendes lourdes sont prévues, jusqu'à 2% du chiffre d’affaires.

Les attaques se multiplient

L’idée c’est de frapper fort, faire comprendre que l’enjeu est colossal alors que les attaques se multiplient contre France Travail, Auchan, Free ou Norauto par exemple. De nombreuses entreprises ont aussi connu des fuites de données en 2024, une année record. L'Agence nationale de la sécurité des systèmes d'information, l’ANSSI a ainsi traité 15% d’incidents en plus l’an dernier.

Au fil des années, les grandes entreprises ont pourtant renforcé leur cybersécurité.
Mais elles ont de sous-traitants. Des entreprises de plus petite taille qui sont autant de portes d’entrée dans leurs systèmes.

Une cyberattaque sur un fournisseur peut ainsi avoir des conséquences dramatiques en cascade. Le Figaro rappelle que cette fragilité fait peser de graves risques sur l’ensemble de l’économie. Les 4 millions de PME-TPE françaises représentent en effet l’essentiel du tissu industriel. La question n’est plus de savoir si votre PME sera attaquée, mais quand.

Le dossier compliqué par Matthieu Belliard : Cyberattaques, les PME face à la menace - 11/03

3:18

Les petites entreprises particulièrement ciblées

Car les petites entreprises sont particulièrement ciblées par les attaques numériques. D’abord parce qu’elles ne s’y attendent pas. Elles se voient trop petites et leurs dossiers ne semblent pas si intéressants.

Mais personne n’est épargné. Dans les 12 derniers mois, 15% des entreprises françaises affirment avoir déjà été visées par un incident de sécurité informatique. Les TPE et PME souffrent d’une protection informatique défaillante, d’un manque de moyens pour lutter et parfois d’une méconnaissance totale des enjeux.

D’après une étude du portail cybermalveillance.gouv.fr, seules 22 % des PME se sentent prêtes à faire face à une cyberattaque.

Les organisations patronales alertent, parce que si elles étaient confrontées à une attaque, 65% des entreprises affirment qu’elles ne sauraient pas en évaluer les impacts.

Les PME sont particulièrement exposées au risque des "Rançongiciels", des logiciels ou virus qui bloquent l’accès à l’ordinateur, au réseau, aux fichiers et données. Des pirates réclament alors le paiement d'une rançon et 37% des victimes sont des PME selon l’ANSSI.

L'activité de l’entreprise est bloquée, les données et documents perdus. Aux pertes financières s’ajoute une atteinte à la réputation de l’entreprise. Sans parler de dangers plus graves quand un organisme de santé est ciblé.

Comment protéger son entreprise de ces logiciels malveillants?

Pour se protéger des attaques cyber, les entreprises sont appelées à effectuer des mises à jour régulière de leur sécurité informatique, à ne pas ouvrir de pièce jointe d’expéditeurs inconnus, à proscrire les logiciels piratés, faire des sauvegardes régulières et changer régulièrement les mots de passe.

Et si on vous êtes victime d’un rançongiciel: coupez tout! Débranchez le poste contaminé du réseau, sonnez l’alerte et ne payez pas dit l’Etat. Il faut garder les preuves, porter plainte : s’ils sont identifiés, les rançonneurs pourront être poursuivis pour le piratage et pour l’extorsion de fonds.