07
oct.
2024
Droit international et européen
Droit des nouvelles technologies et de la communication
Données personnelles
07/
oct.
2024
2024
Droit international et européen — Droit des nouvelles technologies et de la communication — Données personnelles
#Cybermois 2024 - Ma TPE/PME est-elle vraiment exposée à un risque de piratage ?
Le #cybermois (du 1er au 31 octobre 2024) est la campagne de sensibilisation annuelle à la #cybersécurité que nous soutenons en tant qu'acteurs concernés et défenseurs.
Ma TPE/PME est-elle vraiment exposée à un risque de piratage ?
Cette question est notre manière d'attirer l'attention sur un mythe persistant selon lequel seules les grandes entreprises seraient vraiment ciblées par des attaques informatiques.
Or les chiffres (voir les liens ci-dessous pour accéder à des "Statistiques sur la cybersécurité des petites entreprises en 2023") sont éloquents :
- Par exemple, Firewall Times rapporte que "Bien que les grandes entreprises fassent généralement les gros titres, les petites entreprises sont beaucoup plus souvent visées, puisque 43 % de toutes les violations de données les concernent".
- De son côté, Hiscox constate dans son très intéressant Rapport 2023 sur la gestion des cyber-risques (basé sur une comparaison par pays) que "L’un des résultats les plus notables de cette année est l’augmentation sensible du nombre de petites entreprises ciblées" lesquelles "sont plus durement touchées. Au cours des trois dernières années, le nombre d’entreprises de moins de dix salariés ayant subi une attaque a augmenté de plus de moitié pour atteindre 36%". "Les plus petites entreprises sont désormais des cibles".
Les TPE/PME sont ainsi tout autant exposées au risque de piratage, voire davantage, alors que la perception dominante du risque reste d'être "trop petites pour intéresser les hackers".
Constitue une cible de choix, toute structure qui manque de préparation en amont, dont les systèmes de sécurité sont moins robustes, dont l'équipe est moins sensibilisée et formée aux bonnes pratiques numériques.
Au-delà de la prévention, il s'agit d'anticiper ce qui se passerait en aval en cas de piratage, quelles mesures permettraient à l'entreprise d'en limiter les impacts (reprendre les activités le plus rapidement possible, limiter les dommages financiers, réputationnels et émotionnels).
⚠️ Ce n'est pas une question de taille d'entreprise, mais de préparation.
Du point de vue des vulnérabilités, un simple e-mail malveillant peut suffire à compromettre des données, engendrant des conséquences financières, juridiques et de réputation, et donc de perte de clients. Les TPE/PME n’ont pas les mêmes ressources que les grandes entreprises et grands groupes pour se relever rapidement d’une cyberattaque.
- D'après Hiscox, le "maillon faible" est le piratage de la messagerie professionnelle, "le mode d’intrusion le plus utilisé par les pirates, suivi des serveurs d’entreprise ou des serveurs cloud".
Que les données traitées soient considérées comme sensibles, ou non, les risques (déstabilisation pour obtenir une rançon, captation financière pour détourner le versement de fonds, pression de médiatisation, etc.) ne sont pas nuls et les impacts non négligeables, quel que soit le secteur d'activité :
- Selon Hiscox, "Un tiers des entreprises attaquées ont subi des pertes financières à la suite d’un détournement de paiement (34%)", "Une entreprise attaquée sur cinq a fait l'objet d’une demande de rançon".
- Les effets les plus ressentis : "Près d'un tiers des entreprises (31%) attaquées ont fait état d'une augmentation des coûts liés à l’information de leurs clients au sujet d'une attaque. Ce chiffre progresse pour la deuxième année consécutive. Il en va de même pour les entreprises qui signalent une violation pour le compte de tiers (26% contre 20% il y a deux ans)" ; "Une entreprise attaquée sur cinq (21%) a déclaré que l’impact était suffisamment important pour menacer sa viabilité. Le constat est le même pour un cinquième des très petites entreprises (moins de dix salariés)".
La posture "La cybersécurité, je m'en occuperai le jour où je serai concerné !" est une faille qui expose à des impacts plus sévères dans les relations avec les tiers (répercussion de la faille chez ses partenaires, sur l'image et la réputation, pertes de clients et de partenaires commerciaux, et plus de difficultés pour en attirer de nouveaux), sur l'activité et la performance de l'entreprise pouvant aller jusqu'à mettre la clef sous la porte.
* * *
Quelques liens - Statistiques sur la cybersécurité des TPE/PME en 2023 :
- Hiscox 🔗Rapport_Hiscox_sur_la_gestion_des_cyber-risques_2023.pdf
- Firewall Times 🔗https://firewalltimes.com/smal...
- PacketLabs 🔗https://www.packetlabs.net/pos...
- GetAstra 🔗https://www.getastra.com/blog/...
* * *
Quelques événements et actions du #cybermois 2024 à Monaco :
- « Les Assises de la cybersécurité » (9-12 octobre 2024), le RDV annuel des experts "pour s’interroger sur les problématiques actuelles et futures"🔗 https://www.lesassisesdelacybe... 🔗 https://amsn.gouv.mc/
- La publication par la Commission de Contrôle des Informations Nominatives (CCIN) de 6 fiches mémo sur la sécurité numérique (Internet, Réseaux sociaux, Les cookies, Wifi public, Téléphonie mobile, Messagerie instantanée) 🔗https://www.ccin.mc/ccin/actua...
- Le soutien d’Action Innocence Monaco pour la campagne Fausse Bonne Idée "La cybersécurité, je m'en occuperai le jour où je serai concerné !" du Cybermoi/s 2024 organisé par Cybermalveillance.gouv.fr avec l'accès à des ressources gratuites 🔗 www.aimc.mc 🔗 https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/2024-cybermois
* * *
Autres actualités