.png?width=150&height=51&name=logo-credit-fr-horz-light%20(4).png "logo-credit-fr-horz-light (4)"){kind=logo}
43% des TPE et PME françaises ont subi un incident de cybersécurité en 2020, selon le dernier bilan annuel de l’Agence nationale de la sécurité des systèmes d’informations.
L’ANSSI recense plus de 2 000 alertes, soit quatre fois plus qu’en 2019.
Ceci s’explique par une meilleure cyberdéfense des grandes entreprises, ce qui a détourné l’attention vers les petites entreprises plus vulnérables.
Les Sénateurs Rémi Caron et Sébastien Meurant, ont publié début juin un rapport sur la cybersécurité des entreprises, dans lequel ils proposent différentes pistes qui s’articulent autour de trois axes : tester, alerter et protéger.
Tester et renforcer la résistance face aux attaques
Le dispositif Cybermalveillance, qui a pour principale mission d'assister les particuliers, les entreprises, les associations, les collectivités et les administrations doit être mis davantage en avant.
Pour cela, un service d'urgence doit être dédié, en mobilisant des jeunes en service civique, disposant des compétences numériques adéquates.
Un recueil anonymisé des plaintes doit être ouvert. Il aurait deux objectifs, le premier celui d’encourager les entreprises à signaler une cyberattaque, et le deuxième de ne pas porter préjudice à leur réputation.
Des équipes spécialisées dans les incidents informatiques doivent être mises en place dans les Régions, pour que les TPE et PME aient un accès plus facile à la protection tout en sensibilisant les collectivités locales.
Enfin l’Etat doit mettre en place :
- des plans nationaux de prévention des cyber-risques
- coordonner les réponses en cas d’attaque numérique systémique
- mettre en place des exercices de simulation
Alerter et former sur la cybersécurité
Les salariés et dirigeants doivent être davantage sensibilisés à ces risques.
Pour cela, les salariés doivent se voir proposer des formations de sensibilisation à la cybersécurité à l’aide des organismes de formation professionnelle. Les dirigeants, qui peuvent voir leur responsabilité engagée en cas d’attaque, doivent être mieux informés à ce sujet pour leur permettre de mieux définir la stratégie de l’entreprise à déployer contre ces attaques d’un nouveau genre.
Pour renforcer la sécurité, la garantie logicielle, permettant aux particuliers de bénéficier des mises à jour de sécurité, doit être élargie aux entreprises.
L’ANSSI pense également à mettre en place, chaque 30 novembre un hackathon de la cybersécurité des entreprises, qui ciblerait notamment les logiciels mis sur le marché.
Enfin, pour une meilleure sensibilisation du grand public, le Sénat propose de mettre en place un cyberscore des plateformes numériques.
Protéger les TPE et PME par des outils adaptés
1- Renforcer le dispositif public de cyberprotection
Cela passe par exemple par le développement de la formation des magistrats, l’augmentation des effectifs spécialisés en cybersécurité des forces de sécurité et les doter de moyens financiers adéquats, l’étude de la possibilité de création d’un Parquet national de la lutte contre les cyberattaques et enfin, la création d’une chambre spécialisée dans la lutte contre la cybercriminalité.
2- L’assurance joue un rôle décisif
Selon une enquête de la CPME, seulement 17% des TPE et PME de moins de 50 salariés sont assurées contre les cyberattaques.
Les Sénateurs souhaitent donc faciliter l’accès aux assurances et ce malgré des conditions de souscription qui se durcissent à mesure que le risque cyber grandit.
Pour ça, il faut une meilleure compréhension du risque, une utilisation de logiciels et d’experts en cybersécurité certifiés « ExpertCyber » et la création d’une agence de cybernotation européenne.
Enfin, ils préconisent l’interdiction du caractère assurable des rançonlogiciels (c’est-à-dire que l’assureur paie la rançon exigée par le cybercriminel) et des sanctions administratives en cas de violation du RGPD, tant au niveau européen qu’au niveau national.
3- Des solutions simples et mutualisées
La première solution que propose le Sénat est de créer un groupement d’employeurs, qui facilitera la mutualisation de responsables de sécurité des systèmes informatiques pour les TPE et PME.
A ça, viendrait s’ajouter le développement d’un “package de solutions” à destination des entreprises. Une proposition qui s’inspire d’un rapport de l’institut Montaigne en novembre 2018.
Ce « package » rassemble des offres de connectivité réseau intégrant :
- des mesures de sécurité
- des offres d’applications métier
- des offres de cyberassurance
Enfin, la création d’un crédit d'impôt est proposée. Si à ce jour, les entreprises ne sont pas poussées à se « cybersécuriser » via les assurances, elles pourraient l’être grâce à une incitation fiscale.
Si vous souhaitez aller plus loin, l’ANSSI a publié, en partenariat avec la direction générale des entreprises (DGE), un nouveau guide destiné aux TPE et aux PME. Réalisé avec le soutien du dispositif Cybermalveillance, ce guide propose des réponses pour la sécurité informatique des entreprises.
Source : netpme.fr ; senat.fr ; ssi.gouv.fr ;
