En 2023, un quart des PME belges ont subi une attaque informatique. Le manque de solutions de protection en fait des cibles idéales pour les hackers. Afin de ne pas mettre en péril leur activité, les PME doivent mettre en œuvre une stratégie de cybersécurité et s’outiller contre les menaces. D’autant plus que les attaques se sont perfectionnées avec le développement de l’intelligence artificielle.
“Les cyberattaques ne touchent pas que les grandes entreprises, c’est même plutôt l’inverse”, constate Elena Massimo, experte en cybersécurité chez Proximus. “À la recherche de vulnérabilités, les criminels en trouvent fréquemment dans les systèmes informatiques des PME.”
À la pêche aux failles
Le phishing et ses déclinaisons sont les menaces les plus courantes. “Si le phishing n’est pas nouveau, le recours à l’IA le rend de plus en plus difficile à détecter”, prévient Elena Massimo. “Les messages frauduleux reproduisent à l’identique les visuels et le vocabulaire utilisés dans les communications légitimes.” Le quishing utilise de faux codes QR pour rediriger l’utilisateur vers des sites malveillants, tandis que le vishing consiste à appeler les victimes potentielles au téléphone pour les convaincre de partager des informations confidentielles.
Le ransomware constitue une autre menace pour les entreprises: les hackers prennent en otage des fichiers ou des systèmes d’exploitation en cryptant les données, puis réclament une rançon en échange de la clé de décryptage. “Le paiement de la rançon peut causer des pertes financières considérables, associées à une chute de productivité quand les données sont perdues ou bloquées”, souligne Elena Massimo. “Sans compter la perte de confiance des clients et les dommages en termes de réputation.”
Les techniques d’usurpation d’identité se sont, quant à elles, améliorées avec la montée en puissance de l’IA. “Un hacker peut téléphoner au service comptable d’une entreprise en reproduisant la voix d’un responsable et lui demander d’effectuer un versement urgent.”
“Grâce à l’IA, un hacker peut téléphoner au service comptable d’une entreprise en reproduisant la voix d’un responsable”
Protection multicouche
Selon Elena Massimo, “la première étape pour se prémunir de telles attaques est de prendre conscience qu’on est une cible potentielle, puis d’agir en amont pour se protéger. Il n’y a pas de solution miracle tout-en-un: la sécurité doit être pensée en couches, chacune contribuant à la protection globale.”
Parmi les mesures envisageables, il convient d’effectuer régulièrement les mises à jour des systèmes, conçues avec des correctifs de vulnérabilités, et d’utiliser des mots de passe forts. “Cela semble aller de soi, mais les statistiques montrent encore une prévalence élevée de mots de passe comme 1234 ou motdepasse. L’authentification à deux facteurs – avec envoi d’un code sur un téléphone ou une application – garantit une couche de vérification supplémentaire.”
Il est également fondamental d’établir une politique de cybersécurité claire dans l’entreprise. Segmenter le réseau permettra, en cas d’attaque, de sauvegarder les données des autres segments. Par ailleurs, grâce à une gestion rigoureuse des droits d’accès, chaque employé n’accédera qu’aux informations nécessaires pour éviter de mettre en péril l’ensemble des données. Enfin, il est essentiel de former continuellement les employés aux bonnes pratiques et de tester leur vigilance grâce à l’envoi de faux e-mails de phishing, par exemple.
“La sécurité doit être pensée en couches, chacune contribuant à la protection globale”
Outils de filtrage
“On estime que la moitié des attaques proviennent du Web, l’autre moitié des e-mails”, note Elena Massimo. “Proximus propose deux solutions pour les PME: Secure Net offre une protection sur tous les réseaux Proximus mobiles et fixes; Norton, en complément, filtre les filtre les Wi-Fi en Belgique comme à l’étranger.”
La sécurisation des entreprises qui comptent plusieurs sites ou dont les employés travaillent à distance est plus complexe. Dans ces cas-là, une solution sur mesure peut être élaborée. Il est intéressant aussi de se renseigner sur les aides régionales destinées aux PME en matière de cybersécurité.