Il ne se passe pas un jour sans qu’une actualité rappelle que la cybersécurité est un sujet majeur, qui touche aussi bien les particuliers que les entreprises.

Lorsque l’on échange avec les dirigeants des entreprises, on voit que la perception du sujet cybersécurité est variable. Tout le monde est globalement conscient du risque, mais trop de responsables pensent encore que le risque est limité car leur entreprise est « trop petite pour intéresser les pirates ». Ou plus simplement assez protégée, puisque rien n'est arrivé jusque là.

Autre idée bien ancrée, la perception que la cybersécurité est essentiellement un sujet technique, qui n’adresse que des enjeux techniques.

On va voir que ces points sont discutables, mais surtout que l’enjeu est très différent.

Quelles entreprises concernées par le risque cybersécurité ?

Sur le sujet spécifique de la cybersécurité, la commission « Usages numériques » du MEDEF21 a interrogé les adhérents en 2024.

Et le bilan ne peut pas laisser indifférent :

·       25 % des entreprises ont déjà été victimes d’une cyberattaque dans la région (avec un impact variable).

·       70 % des répondants connaissent une autre entreprise qui a été victime d'une attaque

Ces chiffres ne sont pas fondamentalement différents de ceux donnés par l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Leur « rapport sur les menaces » dit que 37% des PME et TPE françaises ont été attaquées en 2024.

La différence se joue a priori en partie sur la capacité à identifier et déclarer les incidents. D'autant que de nombreuses attaques ne sont pas détectée rapidement (les données sont volées, mais le système reste fonctionnel).

Que ce soit pour voler des données ou mettre en place un système de rançon, le but des pirates est avant tout de faire du volume en maximisant le retour sur investissement. Oublions l’image du cyber attaquant seul dans sa chambre, on a désormais affaire à des systèmes mafieux qui génèrent des milliards de dollars de revenus.

Attaquer les plus fragiles est donc la solution privilégiée pour « faire du chiffre ».

On notera que ce qui différencie fondamentalement une entreprise préparée au risque cyber et une entreprise non préparée, ce n’est pas le fait de se faire attaquer ou pas.  Tout le monde peut l’être. La différence, c’est le niveau et la durée de l’impact sur les activités.

Pour prendre une analogie qui changera de l’informatique : si l’attaque est une grosse vague (scélérate, évidemment), et l’entreprise un navire, l’impact va varier selon le niveau de préparation en amont.

• Le navire non préparé pourra se faire renverser et devra même peut être appeler à l’aide pour rentrer au port. L'eau sera partout.
• Le navire préparé va tanguer mais rapidement retrouver son aplomb et poursuivre avec ses propres moyens. Mieux, les cloisons étanches vont éviter la propagation des dommages.

Quels impacts pour le risque cybersécurité ?

Dès qu’on parle cybersécurité, on a coutume de parler de vol ou encore de destruction de données. On va prendre un axe différent dans cet article : celui de la désorganisation et des effets sur la capacité de production de l’entreprise.

Parce que pour bien comprendre le risque, on n’a absolument pas besoin de termes techniques.

Il faut d’abord penser au métier et à la raison d’être de l’entreprise.

Qui dit attaque informatique, dit souvent arrêt de plusieurs outils avec des fonctions dont on est parfois très dépendant : comptabilité, commandes, planification, logistique, production, gestion des ressources humaines, …

Or on sait que le temps moyen de rétablissement après une attaque de type « rançongiciel » est de 22 jours.

Ça peut sembler énorme, mais c’est un chiffre très réel. Après une attaque, on ne redémarre jamais immédiatement.

Pour prendre la mesure du risque, il faut donc se poser cette question avec le maximum d’honnêteté : « dans le cas où mon informatique serait paralysée par une attaque, combien de temps est-ce que je peux continuer à servir mes clients ? ».

On peut aussi faire l’exercice autrement en se demandant l’effet sur l’entreprise si l’informatique s’arrête pendant 2 heures, 2 jours, 2 semaines, … Ça demande une petite gymnastique intellectuelle, mais ça peut rapidement ouvrir les yeux en rappelant la dépendance à l'informatique.

On comprend alors rapidement pourquoi tant de sociétés ont du mal à se remettre d’une attaque informatique : chaque heure qui passe à un impact direct sur le chiffre d’affaires, avec un effet cumulatif !

Enfin, ne négligeons pas l’effet sur la confiance des clients et partenaires. Tout le monde peut comprendre l’incident mais pas forcément une absence de préparation.

Quel est le premier pas, finalement ?

Tout d’abord une bonne nouvelle : les entreprises savent parfaitement gérer des risques. C’est même le quotidien des responsables d’entreprise qui doit gérer et anticiper des risques chaque jour : incendies, incidents de véhicules, compétition, ressources humaines, …  

En 2025, plus personne ne questionne la présence d’extincteurs dans des locaux. Pas plus que le port du casque sur un chantier ou le port de la ceinture de sécurité. Alors pourquoi cette inertie pour passer le cap de la prise en compte du risque cyber alors qu’on croule sous les articles et les opérations de sensibilisation ?

Ce qui manque est peut-être finalement la prise de conscience. Pas forcément la prise de conscience de l’existence du risque, mais celle qui amène à affronter le risque avec détermination pour protéger son organisation.

Les moyens techniques viennent seulement ensuite et ne sont finalement que cela : des moyens, pas une fin en soi.

Quelles mesures pour augmenter son niveau de sécurité informatique ?

A partir du moment où on décide de gérer un risque, on a souvent fait le pas le plus important.

On peut (et on doit) citer quelques mesures :

1. La formation régulière des employés et dirigeants : les personnes non formées sont susceptibles de tomber dans les pièges des cybercriminels, notamment les attaques de phishing (utilisant l’email comme véhicule de l’attaque). On peut aussi citer l’arnaque au président (usurpation d’identité) et la bonne habitude qui consiste à rappeler son interlocuteur en cas de demande qui sort de l’ordinaire (la demande de virement du vendredi soir, à 17h, par exemple …).

2. La mise en place de politiques de gestion des mots de passe forts, idéalement avec un système de double authentification pour les systèmes les plus importants (sur le même principe que le paiement en ligne qui impose une vérification à chaque utilisation de votre carte de crédit). On ne doit JAMAIS réutiliser un mot de passe personnel sur un compte d’entreprise. Parce que les chances qu’il soit déjà volé sont proches de 100%.

3. La mise à jour des logiciels, systèmes d’exploitation et anti-virus : les systèmes non mis à jour présentent des failles de sécurité exploitées par les assaillants pour accéder aux réseaux d'entreprise. Pensez aussi à vos outils réseau (routeurs, bornes wifi, …) qui sont parfois des points d’entrée privilégiés des pirates.

4. La mise en place de systèmes de sauvegarde robustes (pas une simple copie), et régulièrement testés : les sauvegardes irrégulières, incomplètes ou qui ne sont pas vérifiées peuvent créer un faux sentiment de sécurité et provoquer une incapacité à relancer rapidement l’activité, voir mener à une perte de données irréversible. Assurez-vous aussi que la sauvegarde ne dépend pas que d’une seule personne. On ne choisit pas le moment où on a besoin, ni la totale disponibilité des gens.

5. La mise en place de plans de réponse aux incidents : l'absence d'un plan d'action en cas d'attaque peut aggraver les dégâts et prolonger les interruptions d'activité. A nouveau, se préparer, c’est se protéger. Il faut donc se poser la question simplement : si demain je perds tel outil, si je perds des données, est-ce que je sais quoi faire et qui contacter ? Écrivez des procédures simples et ne les stockez pas sur un ordinateur. Le classeur reste une valeur très sûre (pensez au plan d'intervention qui permet de faciliter le travail des services de secours lors d'une situation d'urgence – il est accessible facilement).

Évidemment ces mesures ne sont pas les seules à envisager, mais c'est un bon point de départ sur le chemin de l'hygiène numérique.

Liens externes

Pour les entreprises qui souhaitent effectuer les premières actions de manière autonome, d’excellents guides sont mis à disposition par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). On peut lister en premier lieu :

• La cybersécurité pour les TPE/PME en treize questions :
• Rançongiciels, comment les anticiper et réagir en cas d’incident ?

Qui contacter en cas d’incident ?

Il existe un portail de référence à bien noter :  17Cyber, le service public d’assistance en ligne destiné aux particuliers, entreprises, associations et collectivités victimes de cyber malveillance.

Le CSIRT (Centre régional de cybersécurité) est aussi un interlocuteur privilégié, en région.

En résumé

1. En 2025, il est possible de transformer le risque cyber en opportunité. A condition de ne pas attendre, on peut même obtenir (et transmettre) une certaine forme de sérénité.

2. Le sujet n’est pas la protection de biens matériels : c’est la continuité d’activité de nos entreprises. Et par extension, la protection des clients et des partenaires. Donc leur confiance renforcée.

3. La protection commence par la prise de conscience. La technique n’est qu’un moyen, pas une finalité.

4. Les mesures de sécurités sont parfaitement connues et maitrisées. Elles ne sont pas forcément couteuses et peuvent avoir un impact rapidement positif si on choisit bien ses priorités.

5. La cybersécurité est désormais un enjeu collectif majeur pour la sécurité de notre développement économique.

En une phrase, pour résumer