Une vaste enquête de terrain de l’Institut de recherche technologique SystemX menée auprès de TPE et PME révèle la manière dont celles-ci sont atteintes par les cybercriminels.
C’est un travail long, délicat et par certains aspects laborieux que vient de rendre public l’institut de recherche technologique (IRT) SystemX, installé sur le plateau de Saclay. Spécialisé dans la cybersécurité, l’organisme a en effet mené pendant trois ans une enquête sur les dégâts occasionnés par les attaques informatiques contre des PME et TPE françaises, de toute région et tout secteur d’activité. La méthode ? Rencontrer les dirigeants de ces sociétés, les faire parler, raconter les attaques subies, les problèmes qui en ont découlé. Y compris, parfois, les dommages psychologiques. Menée par l’économiste Philippe Laurier et racontée par Sciences et Avenir en janvier 2018, cette enquête de terrain a rendu publics ses résultats fin juin 2019, notamment ses résultats chiffrés.
Des attaques à l’aveugle
Les attaques les plus répandues s’avèrent les cryptovirus, ces logiciels qui bloquent l‘accès d’une organisation à ses propres données ou systèmes informatiques et donnent généralement lieu à une demande de rançon en échange du déblocage, et la « fraude au président ». Cette dernière consiste, pour les malfaiteurs, à se faire passer pour les dirigeants de la société ciblée, et à donner l’ordre d’effectuer un virement, la plupart du temps en urgence et sous le sceau de la confidentialité. Le groupe Pathé en a été victime en 2018 et perdu ainsi 19 millions d’euros.
En revanche, les petites structures sont peu sujettes aux attaques par déni de service (DDos), qui consistent à saturer leurs services internet de demandes de connexions simultanées au point de les empêcher de fonctionner. La raison ? Les DDos ont forcément une cible particulière, identifiée. Les attaques par rançongiciel, les usurpations d’identité, les virus par e-mails, le phishing font souvent partie de vagues d’attaque aveugles qui touchent les entreprises et organisations les plus vulnérables, sans savoir à l’avance qui sera victime.
2 à 5% des PME concernées chaque année
Il reste que d’après l’enquête les attaques réussies par cryptovirus « ne se situent […] plus dans la catégorie des événements rares » : 2 à 5% des PME sont concernées chaque année. Au total, ce type de cyberattaque coûte 700 millions d’euros par an aux petites et moyennes entreprises. Mais l’IRT SystemX précise que la perte financière n’est pas le seul impact : il existerait un « ratio entre l’argent rançonné (sommes versées) et le préjudice total de l’ordre de 1/25 chez les TPE/PME ». Conséquences sur la confiance, la cohésion de groupe, incertitude des décideurs, contribuent à affaiblir l’entreprise.
L’IRT note que les problèmes auraient souvent pu être évités non pas grâce à des investissements conséquentes en matière de sécurité informatique mais plutôt par une sensibilisation à de bonnes pratiques et quelques ajustements techniques peu coûteux.
Source : Sciences et Avenir