Les principales failles de sécurité auxquelles sont confrontées les PME

Si toutes les sociétés sont sujettes aux failles de sécurité, il s’agit d’un sujet particulièrement sensible pour les PME. Disposant souvent d’un budget restreint pour leur sécurité informatique, elles sont considérées comme des cibles plus faciles par les cybercriminels.

Cyberattaques : une préoccupation majeure pour les PME

Les cyberattaques représentent une préoccupation majeure pour les petites et moyennes entreprises (PME), souvent ciblées par les cybercriminels.

Confrontées à des défis uniques en matière de cybersécurité, les PME disposent généralement de ressources limitées pour se protéger contre les menaces numériques croissantes. Cette vulnérabilité est exacerbée par :

• un manque  de connaissance sur le sujet. Selon une étude menée par gouv.fr en 2022, seuls 42% des TPE/PME2 réalisent une sauvegarde régulière de leurs données… sans avoir conscience du risque pris.
• une sensibilisation et une formation insuffisantes des collaborateurs aux bonnes pratiques en matière de cybersécurité.
• une infrastructure de sécurité souvent moins robuste que celle des grandes entreprises, et par l’absence de service IT structuré et pointu.

En outre, la capacité des PME à se conformer aux réglementations en matière de cybersécurité est souvent entravée par des contraintes financières. Ces structures accordent davantage de budget à leur cœur de métier plutôt qu’à leur sécurité informatique, laissant la porte ouverte aux cybercriminels. Malgré cette vulnérabilité, 93 % des TPE et des PME3 n’ont pas de budget dédié à la cybersécurité. Comme l’explique Marc Bothorel, référent cybersécurité à la CGPME (Confédération des PME) : “En moyenne, dans l’idéal, il faudrait que les PME consacrent 2 à 3% de leur chiffre d’affaires à la cybersécurité.” Les PME en sont loin aujourd’hui.

Quelles sont les principales failles de sécurité informatique auxquelles sont confrontées les PME ?

Le phishing

Selon le baromètre 2023 de la CESIN, 74 % des PME4 sont touchées par les techniques dites de phishing.

Pour rappel, le phishing est une technique de fraude en ligne.  Les cybercriminels envoient des emails ou des messages semblant provenir de sources légitimes  et/ou fiables dans le but de tromper les destinataires pour qu’ils trasmettent des informations personnelles sensibles.

Le rançongiciel

Le rançongiciel fait également partie des principales failles de sécurité informatique auxquelles font face les PME. Selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), 40 % des PME5 sont touchées par ce fléau.

Le rançongiciel, ou ransomware, est un type de logiciel malveillant qui crypte les données d’une entreprise ou d’un utilisateur, bloquant l’accès jusqu’à ce qu’une rançon soit payée.

Les attaques DoS et DDoS

Les PME, en raison de leurs infrastructures de sécurité généralement moins développées que celles des grandes entreprises, peuvent être des cibles plus vulnérables pour des attaques DoS et DDoS.

Ces actions malveillantes visent à rendre une ressource informatique (comme un site web ou un service en ligne) inutilisable en l’inondant de requêtes, compremettant ainsi sa bande passante.

Failles de sécurité : quels impacts financiers ?

Le coût des cyberattaques réussies sur les systèmes d’information des organisations françaises a représenté deux milliards d’euros en 20226. Cela représente, en France :

• 25 600 € par cyberattaque réussie ;
• une rançon d’une valeur moyenne de 25 700 € ;
• 7 300 € de frais relatifs aux coûts d’interruption d’activité liés à une cyberattaque.

Ces attaques entraînent également des fuites de données considérées comme sensibles. Or, les fuites de données coûtent tout aussi cher à l’entreprise (4,3 millions de dépenses et de manque à gagner en moyenne)7.

Notez, par ailleurs, que ces informations, lorsqu’elles fuitent, fournissent aux pirates des avantages non négligeables. En effet, selon le dernier rapport 2023 d’IBM, environ 19 % des intrusions dans les PME8 sont liées à des vols ou fuites de données préalables.

Les PME demeurent des cibles faciles pour les pirates informatiques, d’où la nécessité de disposer d’une stratégie de cybersécurité robuste et bien planifiée. Du phishing aux attaques par rançongiciel, les PME doivent prendre des mesures proactives pour protéger leurs actifs numériques, leur réputation et leur pérennité. Investir dans des solutions de sécurité informatique n’est pas seulement une mesure préventive, mais un aspect fondamental de la viabilité à long terme de l’entreprise dans un paysage numérique de plus en plus complexe et menaçant.