Aller au contenu principal
PME et cybersécurité

22 mai 2019

Cybersécurité : enjeu critique pour les PME

Le concept de cybersécurité ne se limite plus à la sphère du buzz, il est devenu réalité pour de nombreuses PME qui ont été victimes de cyberattaques. Ces dernières se multiplient depuis plusieurs années et ont récemment fait trembler de grands groupes industriels français, tels que Schneider Electric, Renault ou encore Fleury Michon.

Un enjeu partagé par les PME

Les multinationales construisent et améliorent leurs cyberdéfenses depuis longtemps, encouragées tant par la préservation de leurs enjeux économiques que par l’insistance des gouvernements. La menace tend en revanche à se déployer contre des acteurs plus petits.

Les PME prennent en effet de plus en plus part à l’économie digitale au fur et à mesure que leur chaîne de valeur s’étend, et leur retard n’en est que plus grand. L’assureur Hiscox interrogeait 5400 entreprises européennes en 2018. 61% d’entre elles se sont dit victimes d’au moins une cyberattaque. La France est le deuxième pays le plus touché, avec 67% d’entreprises visées en 2018. Le rapport estime également que seulement 10% des sociétés européennes sont suffisamment équipées pour faire face à ces menaces.

Euler Hermes va plus loin en affirmant qu’environ 18% des entreprises françaises ont essuyé une dizaine de cyberattaques en 2018. Ces enjeux touchent donc autant les grands groupes que les petites structures.

Si la marche à suivre est évidente pour les grandes entreprises, elle l’est moins pour les PME. Les plasturgistes, dont certains s’intéressent de plus en plus à l’implémentation des principes de l’Industrie 4.0, et donc aux machines connectées, doivent impérativement se saisir de ces enjeux.

Rattraper le retard accumulé

Leur premier défi sera de reconnaître que le service IT ne saurait se limiter à la seule réparation des équipements informatiques. Une PME souhaitant intégrer une chaîne d’approvisionnement complexe, où donneurs d’ordres, fournisseurs et concurrents multiples se croisent, doit améliorer ses cyberdéfenses.

Certains hackers partent en effet du principe que ce qui a fonctionné un an auparavant sur un grand groupe peut aujourd’hui frapper durement une entreprise plus petite. Cette théorie devient régulièrement réalité. Si les antivirus et les firewalls offrent en effet un niveau basique de sécurité, il est important pour une société de customiser ses pratiques et ses outils en fonction de ses propres besoins et des risques auxquels elle est confrontée. L’amélioration doit également être continue, d’où la nécessité de se munir d’un service IT compétent.

Malgré tous leurs efforts, les grands groupes ne sont pas à l’abri de nouvelles techniques de cyberattaques. Leurs regards se tournent donc de plus en plus vers leurs propres chaînes d’approvisionnement, et certains commencent à mettre en place des politiques de conformité pour leurs fournisseurs. Les plasturgistes doivent donc s’attendre à ce que certains de leurs donneurs d’ordre leur réclament des garanties quant à la sécurité de leurs réseaux informatiques.

Les PME sont de plus en plus nombreuses à s’adapter et à mettre en place une politique de cybersécurité. Cette démarche n’a pas échappé aux hackers, qui imaginent de nouveaux scenarii d’attaque. La flexibilité des petites et moyennes entreprises, dont certains employés travaillent depuis chez eux, parfois même sur des équipements personnels (smartphones, tablettes, ordinateurs…) génère des vulnérabilités que les cybercriminels sont enclins à exploiter.

Il ne s’agit plus simplement de procéder à une double sauvegarde des fichiers et de renouveler régulièrement les codes d’authentification. Il faut désormais de s’assurer que ses collaborateurs aient une compréhension basique du cryptage des données et de la sécurisation des transactions. Il faut également les encourager à signaler toute occurrence suspecte sur un outil informatique, et prendre ces rapports au sérieux. Une politique de cybersécurité sera plus efficace si elle se mue en culture d’entreprise.

Identifier les entrées

Les plasturgistes peuvent faire l’objet de cyberattaques par le biais de leurs systèmes informatiques, qu’il s’agisse des ordinateurs de leurs collaborateurs ou de certaines de leurs machines. Ils risquent notamment le vol de leurs secrets industriels, de leurs carnets de contacts et l’arrêt de leurs chaînes de production.

Selon la revue l’Usine Digitale, les PME sont particulièrement vulnérables à cinq types de cyberattaques : le déni de service, l’exploitation d’une faille sur les réseaux sans fil, l’attaque via la messagerie de l’entreprise, le sabotage par un employé malveillant et l’attaque d’un automate à l’aide d’une clé USB.

  • Le déni de service : un hacker utilise un accès internet non sécurisé auquel n’importe qui peut accéder depuis l’extérieur. Cela lui permet de s’introduire dans le réseau information de la PME et d’inonder de requête les stations de contrôle des ateliers. La chaîne de production échappe alors au contrôle de l’industriel.
  • L’exploitation d’une faille sur les réseaux sans fil : certains ateliers sont connectés via cette technologie. Un réseau non ou insuffisamment sécurisé permet à un hacker de le pénétrer depuis l’extérieur et d’accéder à ses secrets industriels.
  • L’attaque via la messagerie de l’entreprise : les SPAM et le fishing sont les itérations les plus communes de ces cyberattaques. Un employé reçoit un email muni d’une pièce-jointe ou d’un lien infecté et tente de l’ouvrir. Il active ce faisant un virus malveillant et permet à ce dernier de se propager dans le réseau informatique de la société. Le virus peut également prendre la forme d’un ransomware, comme ce fut le cas des épisodes NotPetya et WannaCry.
  • Le sabotage par un employé malveillant : les cyberattaques peuvent parfois trouver leur origine à l’intérieur même de l’entreprise. Un collaborateur corrompu ou en désagrément avec ses supérieurs peut en effet attaquer efficacement le réseau informatique s’il dispose de droits d’accès suffisants.
  • L’attaque d’un automate par clé USB : les risques de cyberattaques sont accrus lorsqu’un site industriel est connecté, mais l’absence de connexion n’annule pas le risque. Un prestataire mal intentionné peut utiliser une clé USB pour infecter un automate lors d’un cycle de maintenance. Un collaborateur peut en recevoir une, déjà infectée, sous la forme d’un cadeau promotionnel lors d’un salon.

À lire aussi