Les PME, nouvelles cibles de la cybercriminalité

Plus vulnérables aux cyberattaques car moins bien protégées, les petites entreprises en sont de plus en plus souvent victimes. En effet, l’utilisation de plateformes IT communes facilite la propagation de malwares.

La valeur d’une entreprise se mesure de plus en plus à l’aune de ses biens immatériels. Une étude révèle que la propriété intellectuelle – brevets, marques déposées, copyrights ou autres actifs incorporels – représente aujourd’hui 85 % de la valeur globale des 500 sociétés dégageant le plus de chiffre d’affaires dans le monde. Cette montée en puissance du virtuel modifie les risques auxquels les entreprises sont confrontées. 

Recrudescence des cyberattaques

Perte de biens immatériels, corruption ou destruction de données, dégradation d’infrastructures sensibles, atteinte à la confiance publique ou préjudice de réputation, nouvelles sanctions réglementaires ou légales : les risques sont divers, ils augmentent et peuvent nuire à la compétitivité d’une entreprise, voire au cours de ses actions ou à sa valeur actionnariale.

Il y a quelques années encore, les attaques étaient principalement le fait de hackers isolés. Bien que chronophages, ces incidents certes fâcheux ne mettaient toutefois pas l’existence des entreprises touchées en péril. Aujourd’hui, la donne a changé et les pirates sont des experts qui, opérant en bandes organisées, s’en prennent à des systèmes ou des individus en déployant des malwares de manière ciblée et échelonnée.

Alors que ces attaques étaient à l’origine surtout dirigées contre les autorités ou le secteur de la défense, tous les acteurs économiques sont maintenant concernés, ce qui signifie que presqu’aucune entreprise ne peut se considérer à l’abri. Les sous-traitants et les employés constituent en outre d’autres sources de danger. Dans ce contexte, une gestion du risque ciblant efficacement les menaces internes comme externes revêt une importance grandissante.

Les PME dans le viseur

C’est une idée reçue – et fausse – que les petites et moyennes entreprises ne constituent pas des cibles intéressantes pour les cyberdélinquants : les attaques touchent en majorité des entreprises de taille modeste, dépourvues de dispositifs de sécurité. Plus d’un tiers des PME ayant participé à un sondage de l’institut d’études de marché gfs-zürich, réalisé à l’automne 2017, ont ainsi indiqué avoir été victimes d’une cyberattaque et elles seraient sûrement plus nombreuses aujourd’hui.

Souvent, les entreprises taisent ce type d’événements par peur de nuire à leur réputation, alors même que les rendre publics pourrait faire œuvre de sensibilisation. Toutefois, certaines langues se délient : un grossiste en fournitures de bureau suisse ainsi récemment relaté son expérience dans les pages de la NZZ. Citons également un exemple rendu public par la police, celui d’une PME du canton de Fribourg qui a essuyé des pertes de plus d’un million de francs après qu’un hacker a réussi à pirater ses comptes. L’entreprise implantée dans toute la Suisse a vu son serveur hacké par des inconnus, serveur ensuite utilisé pour envoyer des courriels auxquels était joint un malware – également appelé cheval de Troie. Il aura alors suffi qu’un comptable ouvre la pièce jointe pour que le logiciel malveillant contamine son ordinateur, puis qu’il se connecte au service de e-banking de son employeur le lendemain pour que les criminels accèdent aux comptes de l’entreprise et transfèrent des fonds à l’étranger.

Les architectes et ingénieurs également concernés

La cybercriminalité concerne également le secteur de la conception, car quiconque travaille avec des informations techniques, confidentielles ou autres informations sensibles est une cible potentielle pour les cyberdélinquants. En effet, tant les données clients que les détails de construction ou les documents d’appels d’offres peuvent susciter leur convoitise – un risque majeur pour les bureaux d’architecture ou de génie civil.

Une prudence particulière s’impose aux communautés de travail qui téléchargent des documents importants sur des plateformes de collaboration ou de partage de fichiers. Celles-ci sont d’autant plus vulnérables aux risques d’une contamination – qui peut se traduire par le cryptage des documents voire même la destruction des plans – lorsque les standards de sécurité des usagers diffèrent. Une cyberattaque peut donc entraîner un retard de construction et donner lieu à des pénalités. Qui plus est, les responsabilités sont difficiles à déterminer en pareil cas. 

Se prémunir contre les cyber-risques

Les conséquences d'une cyberattaque sont plus lourdes qu'il n'y paraît. Le préjudice économique résultant d'une cessation d'activité ou de prétentions en dommages et intérêts est fréquemment sous-estimé, et c'est sans compter le déficit d'image.

Depuis quelques années, des assurances contre les cyber-risques sont proposées aux entreprises. Ces contrats couvrent les frais relatifs à des prétentions en responsabilité civile de même que les frais d’avocat si celles-ci devaient s’avérer injustifiées. De même, la couverture peut être étendue aux dommages subis par l’entreprise même. Les couvertures de base et complémentaire sont modulaires.

Avant tout, il importe naturellement d’éviter ce type de dommages. C’est pourquoi il est recommandé d’examiner les possibilités techniques avec des experts en informatique et de mettre en œuvre des mesures adaptées, comme des contrôles réguliers, la mise à jour les logiciels anti-virus, mais aussi la sensibilisation des collaborateurs à ces enjeux. En plus de ces précautions, il est possible de souscrire une assurance contre les cyber-risques et de se prémunir ainsi des répercussions financières d’une telle attaque.  

Marco Meili, expert en assurances VZ VermögensZentrum ; marco.meili(at)vzch.com – Les spécialistes de VZ VermögensZentrum aident les PME à trouver la solution adaptée pour faire face aux cyber-risques.

Couverture de base

Responsabilité civile : dommages économiques résultant de prétentions en responsabilité civile fondées sur les dispositions légales en vigueur. Exemples : des hackers piratent votre base de données client et subtilisent des données sensibles. Vos clients portent plainte et exigent des dommages et intérêts. Ou : un collaborateur se fait voler son ordinateur portable. L’assurance couvre alors l’utilisation frauduleuse des données qui y sont enregistrées.

Notification : couverture des coûts liés à l’information aux autorités et aux personnes touchées par le dommage.

Gestion de crise : couverture des coûts liés à la prise de mesures immédiates, au conseil sur des questions juridiques ou judiciaires, au recours à un soutien professionnel dans la gestion des relations publiques.

Corruption des données : couverture des coûts relatifs à la récupération ou au remplacement de données propres ou de données de tiers.

Erreurs de manipulation : couverture de dommages résultant de négligences commises par des collaborateurs lors de la maintenance ou de la mise à niveau du système informatique.

Couverture complémentaire (diffère en fonction des prestataires)

Responsabilité civile multimédia : couverture de prétentions de tiers fondées sur une atteinte à leur propriété intellectuelle liée à la publication de contenus numériques par l’entreprise.

Cessation d’activité : couverture de pertes de profit et de frais générés par la reprise de l’activité.

Cyber-chantage : couverture des rançons de même que de la destruction, la saisie, la perte ou du recel des fonds y consacrés.

Cyber-vol : couverture des virements et paiements non autorisés effectués suite au piratage du système informatique de l’entreprise.

Prestataires externes : couverture des coûts relatifs à la perte ou au blocage de données ainsi qu’à l’indisponibilité de services suite à des défaillances de sécurité de prestataires externes.