Actualités

Publié dans Les Echos Entrepreneurs, le 3 décembre 2019, Thibault Marotte,

Cyberattaque : comment les PME doivent-elles réagir ?

Les PME sont souvent mal préparées à une attaque informatique. Communication interne et externe, plan de reprise d’activité et de continuité, investigations, les dirigeants doivent bâtir un plan de riposte pour affronter la crise.

La cybersécurité est encore trop peu perçue comme un enjeu prioritaire par les entreprises. Elles sont moins de trois entreprises françaises sur dix à vraiment s’en soucier, selon une étude PwC. Les dirigeants de PME se trouvent évidemment de bonnes raisons pour éviter le sujet : les coûts financiers, le manque de temps, et parfois de compétences… Et de fait, ils occultent les risques que peut représenter une attaque informatique : perte de données, arrêt de l’activité, interventions en urgence de spécialistes, etc. Pourtant, anticiper et se protéger permet de parer nombreuses situations délicates.

Une première attaque informatique, même sans conséquence apparente, doit faire prendre conscience au dirigeant de l’importance à protéger son système informatique. « Un virus A peut facilement prendre une autre forme. Les pirates n’hésitent pas à adapter la souche », affirme Benjamin Leroux, expert en cybersécurité au sein du cabinet Advens. Un virus peut aussi être les prémices d’une nouvelle intrusion plus sophistiquée dans les semaines voire les mois suivants.

Lorsqu’une intrusion informatique est détectée, avoir préparé un plan d’actions permettra à l’entreprise de réagir vite et de façon ordonnée. Légalement, en France, seules les entreprises des secteurs sensibles, qualifiées d’opérateurs d’importance vitale (OVI) – environ 250 entreprises dans 12 secteurs d’activité -, ont l’obligation de prévenir l’Agence nationale de la sécurité des systèmes d’information (Anssi) en cas d’attaque. Toutefois, toutes les entreprises se doivent d’alerter la Commission nationale de l’informatique et des libertés (CNIL) en vertu de la nouvelle loi RGPD en cas de fuite de données non chiffrées.

Attaque informatique : la course contre la montre

En interne, lorsqu’une anomalie majeure est détectée sur un ordinateur de l’entreprise, il est vivement conseillé d’isoler la machine du réseau. « Si l’attaque est en cours, il faut l’arrêter. Une course contre la montre s’organise ensuite », assure Benjamin Leroux,. Une fois éteinte, de ne surtout pas la rallumer pour ne pas perdre de données. Dès lors, un travail d’investigation peut débuter pour déterminer l’origine de la faille. L’entreprise, si elle ne l’a pas déjà fait, peut faire appel à des experts en cybersécurité. Au cours de l’enquête, toutes les preuves doivent être mises de côté pour pouvoir étayer une plainte . Elles serviront à la procédure judiciaire en cas de poursuites.

Lorsque l’attaque est plus généralisée… « Pour les salariés, on recommande d’avoir des canaux de communication lors de la cyberattaque. Si les e-mails sont atteints, on préconise un groupe WhatsApp ou un canal d’échange dédié qui est déjà préparé avec tous les interlocuteurs de l’entreprise », détaille Jacques de La Rivière, CEO de la start-up Gatewatcher, spécialiste des sondes d’intrusion dans les réseaux informatiques.

Ces mesures seront d’autant plus efficaces qu’en amont, les dirigeants auront conçu un plan de reprise d’activité (PRA) et un plan de continuité d’activité (PCA) . Ils permettront de minimiser les dégâts et de poursuivre l’activité de l’entreprise via des dispositifs d’urgence pré-établis. « Il faut définir ce qui est vital dans l’entreprise. Cela permet de responsabiliser tout le monde », développe Cédric Thellier, expert en cybersécurité et directeur technique d’Akerva.

LIRE L’ARTICLE EN ENTIER