Aujourd’hui, la sécurité informatique et la nécessité d’assurer une haute disponibilité des informations sont devenues un élément important pour la plupart des entreprises, quel que soit le secteur auquel elles appartiennent, puisque la plupart de leurs processus dépendent d’outils informatiques tels que les logiciels de gestion, de comptabilité, etc.

Le forum économique mondial identifie le cyber risque systémique comme l’un des risques les plus probables et les plus percutants pour les entreprises. Les grandes institutions ont perdu près de 500 milliards de dollars en raison d’événements de risque opérationnel entre 2011 à 2020, principalement en raison de cyberattaques. Selon Marie Brière, responsable du Centre de recherche aux investisseurs chez Amundi et directrice scientifique du programme interdisciplinaire Finance and Insurance Reloaded : « …Le Comité européen du risque systémique a récemment caractérisé la cybersécurité comme un risque systémique pour le système financier de l’Europe. Mais, malgré ces préoccupations grandissantes, les risques cyber ont une couverture limitée par le secteur assurantiel et il y a un besoin de développer des régulations micro et macro prudentielles. Les défis sont très importants. Le premier est relatif aux manques de données sur la survenue des cyberattaques, ce qui limite les possibilités de quantifier précisément les risques et de développer des tarifications probabilistes. Un deuxième challenge concerne l’assurabilité des risques cyber par le secteur de l’assurance » (cité dans https://www.institutlouisbachelier.org)^¹.

Les enjeux technologiques sont d’une importance vitale dans tous les domaines. D’autant plus s’il s’agit de nous faciliter la vie et de nous protéger des agressions extérieures. Les menaces ou les attaques sur les systèmes informatiques peuvent provenir d’un programme malveillant, tel que des virus, ou par des moyens distants (criminalité sur les réseaux Internet).

Quand on parle de termes de sécurité informatique, il faut comprendre les bases qui constituent les fondements de cette science. L’une de ces bases est le concept de sécurité qui est l’absence de risque par la confiance qui existe en quelqu’un ou quelque chose. Si la sécurité est abordée d’un point de vue disciplinaire, le concept peut être défini comme une science interdisciplinaire pour évaluer et gérer les risques auxquels une personne, un environnement ou une propriété est exposé. Il y a des pays où la sécurité est une question nationale, bien que cela dépende du type de sécurité, il en existe de nombreux types, par exemple, la sécurité environnementale, la sécurité économique, la sécurité sanitaire et dans presque la majorité des pays, lors de l’analyse du mot « sécurité », on fait référence à la sécurité des personnes, par exemple, en évitant l’état de risque de vol, de dommages corporels ou de biens matériels.

L’utilisation des médias informatiques et d’Internet pour commettre des crimes a donné aux nouveaux criminels un tel pouvoir de diffusion que pratiquement n’importe quel endroit de la planète ayant une connexion à Internet est vulnérable à la portée de leurs méthodes. Compte tenu du fait que les effets causés par une attaque informatique pourraient avoir des conséquences plus dévastatrices que ceux causés par les attaques, un problème d’une ampleur considérable se pose et doit être traité avec le plus grand dévouement et effort possible.

La question de la cybersécurité représente également un enjeu majeur pour le monde des entreprises. Ce qui explique les différentes procédures de perfectionnement du système ainsi que le recours à une digitalisation. Une telle initiative est due à la croissance des interactions à travers des réseaux dans la réalisation des activités au quotidien entre des particuliers et aussi des professionnels. Ces échanges et connexions peuvent contenir des risques et peuvent faire l’objet d’une menace émanant de l’extérieur. La considération d’un tel risque se trouve judicieuse pour chaque entreprise afin de prévenir toutes attaques préjudiciables. Avec l’ampleur des dégâts engendrés par la pratique des cyberattaques, il est très ardu de s’y remettre rapidement ; d’où l’importance d’avoir des réactions assez efficientes.

Toute entreprise, qu’il s’agisse d’une grande entreprise ou d’une PME, gère des informations de grande valeur non seulement pour elle-même, mais aussi pour ses clients. De plus, non seulement l’information est la cible des cybercriminels, mais les systèmes qui la gèrent les intéressent également puisqu’ils peuvent être utilisés pour perpétrer de nouvelles fraudes ou simplement extorquer de l’argent à l’entreprise qui en est propriétaire. Pour toutes ces raisons, connaître les principales cybermenaces pouvant affecter les entreprises est vital afin de pouvoir les identifier activement et donc pouvoir les éviter. Les attaques contre les entreprises se sont multipliées depuis la croissance du commerce « en ligne » et le développement des nouvelles technologies. Et face à la croyance que les cyberattaques ne se concentrent que sur les grandes entreprises disposant de grosses bases de données, la réalité dément déjà que les cybercriminels profitent de la vulnérabilité des petites et moyennes entreprises qui ne disposent pas de mesures de protection adéquates.

Selon Hazane (2016), dans son article, « (In)sécurité numérique et PME : transformer les défis en atouts. Sécurité et stratégie », L’utilisation d’une technologie informatique fiable dans la petite entreprise est un facteur majeur qui soutient sa croissance et renforce son avantage concurrentiel. Malgré tous ces faits sur les avantages de l’utilisation des technologies informatiques pour les PME, certains inconvénients peuvent être exploités par les cybercriminels. Les technologies informatiques telles que le cloud computing pourraient être une cible prioritaire pour les cyber-attaquants si les vulnérabilités des fournisseurs ont déjà été identiﬁées.

C’est pourquoi il semble plus qu’intéressant de s’intéresser à la vulnérabilité des PME et des TPE face aux cyberattaques en fonction des moyens dont ces catégories disposent pour mettre en place des systèmes de cybersécurité. C’est dans ce contexte que nous émettons la problématique suivante : « Comment la fonction risque s’organise et se déploie-t-elle dans les PME/TPE pour améliorer la cybersécurité ? »

Pour traiter cette question, ce travail se divise principalement en deux parties : la première partie porte sur une revue de littérature concernant le cyber risque et ses impacts sur les entreprises notamment les PME/TPE. La seconde partie quant à elle porte sur une étude qualitative à travers laquelle des entretiens semi-directifs seront menés auprès d’un échantillon de PME/TPE.

Partie 1 :

Le cyber risque et ses impacts sur les entreprises notamment les PME/TPE

Dans cette première partie du travail, nous allons mettre en contexte notre thème de recherche. À l’aide de l’exploration de différents ouvrages et articles scientifiques, nous aurons un aperçu explicite sur la question de la cybersécurité ainsi que son enjeu pour les entreprises. À travers les différents chapitres et sections, les éléments théoriques qui ont trait à ce sujet nous permettront de mieux répondre à notre grande interrogation.

La cybersécurité

L’intégralité de ce chapitre porte sur le panorama de ce qu’est la cyberattaque ainsi que ses notions voisines. Et pour ce faire, nous allons les définir et voir également les concepts intrinsèques. La détermination des cibles de cette pratique ainsi que ces auteurs feront aussi objet de notre étude.

La première chose à mentionner est que dans de nombreux cas, les deux concepts de sécurité informatique et de sécurité de l’information sont souvent confondus, bien qu’ils semblent très similaires, ils ont des points clés qui font la différence. C’est pour cela qu’il nous semble important de commencer par donner une définition de la sécurité informatique ou cybersécurité.

Définition de la cybersécurité

Les nouvelles technologies offrent aux entreprises des outils de plus en plus puissants, leur permettant à la fois de renforcer leur compétitivité et d’optimiser rentabilité et leur productivité. Toutefois, l’informatisation des activités et des opérations renforce la vulnérabilité des entreprises.

En effet, force est de constater que le développement grandissant de l’utilisation de la micro-informatique, le développement, voire l’explosion des différents réseaux de communication, renforcent l’exposition des banques à de nouveaux risques, notamment à des risques technologiques et informatiques, dont les principaux sont :

Risques engendrés par la multiplication et la distribution des ressources pour renforcer la performance ;
Risques liés aux pannes informatiques, notamment au niveau des serveurs de données, des réseaux et des applications ;
Multiplicité des profils d’internautes,
Risques engendrés par l’utilisation d’Internet et des standards à travers les services WEB, e-mail, transferts de fichiers, etc.
Cyberattaques, pour le vol ou les modifications d’informations confidentielles
Usurpation d’identité ;
Propagation de virus, etc.

Pour définir la mesure de protection de l’informatique, nous devons d’abord déterminer ce qui peut être affecté par les menaces de sécurité informatique. Des termes tels que ressource, menace et vulnérabilité sont souvent utilisés dans les études de sécurité informatique pour décrire d’autres concepts de sécurité informatique. Le tableau présenté ci-dessous décrit ces termes de sécurité pour une meilleure compréhension.

Tableau 1 : Les termes clés de la sécurité informatique

Termes clés	Signification
Actifs	Selon la norme ISO 27005, un actif est tout ce qui a de l’importance/de la valeur pour l’organisation. Les actifs peuvent être de différents types. Il peut s’agir d’infrastructures telles que des bâtiments, du matériel informatique, du code logiciel, des outils de développement, des informations telles que des informations de base de données, la propriété intellectuelle (propriété intellectuelle). Même la réputation peut être reconnue comme un atout « précieux » pour l’organisation.
Vulnérabilité	La vulnérabilité est définie comme une faiblesse d’un actif qui donne la possibilité d’être exploité et lésé par des menaces. Selon la taxonomie des risques, la vulnérabilité définit la probabilité de l’incapacité d’un actif à se défendre contre un agent d’attaque. La vulnérabilité se produit lorsqu’il n’y a pas assez de résistance au sein de l’organisation menace ( Fantcho, & Babei (2017)p.5.
Menace	Une menace peut être une cause potentielle qui peut être transformée en un incident indésirable pour endommager une organisation

La sécurité informatique est responsable de la sécurité de l’environnement informatique. Selon plusieurs auteurs, l’informatique est la science en charge des processus, techniques et méthodes qui cherchent à traiter, stocker et transmettre des informations, tandis que la sécurité de l’information est en principe une discipline transverse et ne concerne pas seulement l’informatique, il s’intéresse à tout ce qui peut contenir de l’information (Auger (2019). p.1). Bref, cela veut dire qu’il s’intéresse à presque tout, ce qui conduit à affirmer qu’il y a plusieurs différences, mais la plus pertinente est l’univers que chacun des concepts manipule dans l’environnement informatique.

D’une manière générale, la sécurité informatique peut être définie comme un processus de protection de la confidentialité et de l’intégrité des informations contenues dans un système informatique. Une telle protection peut être obtenue par le biais d’un logiciel, d’un matériel ou d’une sécurité réseau.

Selon l’ANSSI (Glossaire, 2022) la cybersécurité est un « État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptible de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense ».

Ventre (2016) stipule par ailleurs que la sécurité informatique peut être définie comme la discipline chargée de planifier et de concevoir des normes, des procédures, des méthodes et des techniques afin de garantir qu’un système d’information est sécurisé, fiable et surtout disponible.

Toutes ces définitions se rejoignent sur le fait que la sécurité informatique consiste avant tout d’assurer la confidentialité des données disponibles dans le système informatique. Pourtant, l’informatique est actuellement inondée de toutes les informations possibles, mais l’information en elle-même est encore un univers plus vaste et dans de nombreux cas plus complexes à gérer, car les processus ne sont pas aussi visibles pour les personnes impliquées.

La tâche principale de la sécurité informatique est de minimiser les risques qui peuvent provenir de nombreuses sources, cela peut provenir de la saisie de données, du support qui transporte l’information, du matériel utilisé pour transmettre et recevoir les informations, des utilisateurs eux-mêmes et même par les mêmes protocoles qui sont mis en œuvre, mais toujours la tâche principale est de minimiser les risques pour obtenir une sécurité meilleure et plus grande. Dans ce contexte, ce que la sécurité devrait envisager peut-être classé en trois parties comme suit :

Les utilisateurs : les utilisateurs sont considérés comme le maillon le plus faible de la chaîne, car les personnes sont impossibles à contrôler. Un utilisateur peut un jour se tromper et oublier quelque chose ou avoir un accident et cet événement peut gâcher le travail de longue date. Dans de nombreux cas, le système et les informations doivent être protégés du même utilisateur ;
L’information : elle est considérée comme l’or de la sécurité informatique puisque c’est ce que l’on veut protéger et ce qui doit être sûr, autrement dit, on dit que c’est l’actif principal.
Enfin, il y a l’infrastructure, c’est peut-être l’un des moyens les plus maîtrisés, mais cela ne veut pas dire que ce soit celui qui fait courir le moins de risques, cela dépendra toujours des processus qui sont gérés. Des problèmes complexes doivent être pris en compte, tels que l’accès non autorisé, le vol d’identité, même les dommages les plus courants, par exemple, le vol d’équipement, les inondations, les incendies ou toute autre catastrophe naturelle pouvant affecter le matériel physique du système de l’organisation. (CLUSIB, (2006).

Raphael (2018 p.11) indique également que « La sécurité informatique c’est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles. L’objectif de la sécurité informatique est d’assurer que les ressources matérielles et/ou logicielles d’un parc informatique sont uniquement utilisées dans le cadre prévu et par des personnes autorisées ». Ainsi, les quatre domaines couverts par la sécurité informatique sont les suivants :

Confidentialité : accès aux données et informations uniquement pour les utilisateurs autorisés ;
Intégrité : les utilisateurs autorisés sont les seuls à pouvoir modifier les informations en cas de besoin.
Disponibilité : toutes les données et informations doivent être disponibles lorsque l’utilisateur en a besoin. De plus, il garantit que le système est stable et opérationnel à tout moment.
Authentification : la communication à travers le système est sécurisée. Les identités sont réelles (Poinsot (2018).

La cybersécurité consiste à donc mettre en œuvre des cyber technologies et des contrôles axés sur les personnes, des contrôles de gestion sur les processus, l’infrastructure et les technologies, afin de réduire et de contrôler le risque d’une cyberattaque.

Les diverses formes de cybercriminalité

La cybercriminalité se développe considérablement dans le monde de la technologie aujourd’hui. Les criminels du World Wide Web exploitent les informations personnelles des internautes pour leur propre profit. Les cybercrimes sont à un niveau record, coûtant aux entreprises et aux particuliers des milliards de dollars par an. L’évolution de la technologie et l’accessibilité croissante des technologies intelligentes signifient qu’il existe de multiples points d’accès aux données sensibles. Alors que les forces de l’ordre tentent de s’attaquer à ce problème croissant, le nombre de criminels continue de croître, profitant de l’anonymat d’Internet.

Malgré le fait qu’un pourcentage élevé de formes de cybercriminalité s’établissent autour de l’obtention d’informations sensibles à des fins non autorisées, la cybercriminalité comprend également des actes criminels traditionnels, tels que le vol, l’usurpation d’identité, la fraude, le harcèlement et donc un nombre incalculable de délits, qui, dans ce cas, sont engagés via le réseau.

Il existe différentes formes de cybercriminalité. Nous allons en présenter quelques-unes, mais cette liste n’est pas exhaustive :

Le piratage : en termes simples, le piratage est un acte commis par un intrus en accédant à votre système informatique sans permission. Les pirates informatiques sont essentiellement tous les programmeurs informatiques, qui ont une compréhension avancée des ordinateurs et utilisent généralement ces connaissances à mauvais escient pour des raisons sournoises (Ventre, Loiseau et Aden (2021). Ce sont généralement des passionnés de technologie qui ont des compétences de niveau expert dans un logiciel ou un langage particulier. Quant aux motifs, il pourrait y en avoir plusieurs, mais les plus courants sont assez simples et peuvent s’expliquer par une tendance humaine telle que la cupidité, la renommée, le pouvoir, etc. pour effectuer des tâches qui sont en dehors de l’intention du créateur, d’autres veulent simplement provoquer la destruction ;
Diffusion de virus : le virus informatique est « tout programme capable d’infecter un autre programme en le modifiant de façon à ce qu’il puisse à son tour se reproduire » (Boos (2019 p.63). Ils perturbent le fonctionnement de l’ordinateur et affectent les données stockées, soit en les modifiant, soit en les supprimant complètement ;
Cyber-harcèlement : « le cyber-harcèlement est une situation d’humiliation, de chantage voir même de vexation d’un ou de plusieurs individus envers un autre. Cela peut survenir depuis une « différence », comme être plus grand, plus gros, d’une équipe de football différente » (De la, et Juan (2020). Les Cyber-harceleur profitent fréquemment de l’anonymat du web qui leur permet à tous de poursuivre leurs activités sans se faire repérer ;
Vol de marque : la propriété intellectuelle est définie comme une innovation, une nouvelle recherche, une procédure, un style et une formule qui ont une valeur marchande financière ;
Vol d’identité : « le « vol d’identité » se caractérise par l’exploitation simultanée des éléments identiﬁcateurs de la victime par le délinquant » (Dupont (2010 p.250). Le malfaiteur peut utiliser des informations personnelles et économiques pertinentes ;
Usurpation : il s’agit d’un moyen d’avoir un accès non autorisé aux ordinateurs, où le malfaiteur envoie des notifications à un ordinateur personnel en ligne avec une adresse IP. Du côté du destinataire, il apparaît que les notifications sont transmises à partir d’une source crédible. Pour effectuer l’usurpation de protocole Internet, un cybercriminel crée d’abord une tentative de localisation d’une adresse de protocole Internet, puis une modification et des paquets sont effectués pour montrer que les paquets sont créés en une multitude initiale.

Comme mentionné ci-dessus, les organisations sont des cibles faciles pour les cybercriminels, cette situation peut causer des dommages opérationnels, augmentant la probabilité d’avoir un impact négatif sur l’environnement, la santé et la sécurité au travail, les installations et leur environnement.

Les facteurs de l’afflux des cyberattaques chez les entreprises

Selon Lehu (2018) dans son article « Cyberattaque : la gestion du risque est-elle encore possible », La cyberattaque représente l’une des crises les plus graves qui menacent les entreprises.

Sans aucun doute, les entreprises sont l’entité dont les informations à caractère sensible sont le plus clairement quantifiables sur le plan économique, car directement liées à leur volume d’activité. La croissance des réseaux sociaux et des transactions électroniques commerciales ont conduit les criminels à concentrer l’un de leurs principaux objectifs sur le vol d’informations confidentielles de l’entreprise, compromettant sa position concurrentielle ou, dans la plupart des cas.

Les sources de cyber risque

L’IFC considère le cyberrisque comme des risques opérationnels pour les actifs informationnels et technologiques qui ont des conséquences affectant la confiance, la disponibilité ou l’intégrité des informations ou des systèmes d’information. Dans ce contexte, le cyberrisque est catégorisé comme un risque opérationnel, un risque qu’une entreprise peut subir au cours de ses opérations commerciales. Cela soulève la question de savoir ce qu’est un risque opérationnel ? Le risque opérationnel est défini comme « les risques de pertes dues à l’inadéquation ou à la défaillance de processus internes dues au personnel ou aux systèmes ainsi que celles dues aux événements extérieurs » (définition officielle donnée par le comité de Bâle, cité dans Lamarque & Maurer (2009).

Moshaigeh (2019) a récemment décomposé et classé le cyber-risque en quatre classes basées sur des entreprises de toutes tailles. Les quatre classes sont les attaques contre les systèmes physiques, les attaques d’authentification et de privilège, le déni de service et le contenu Internet malveillant. Meurant

Les organisations dépendent de plus en plus d’écosystèmes dotés de technologies complexes pour les activités clés : interagir de nouvelles façons avec les clients et les tiers et utiliser les informations pour améliorer la prise de décision et augmenter la portée et les profits. Alors que les cyberattaques deviennent plus fréquentes et plus graves, les dirigeants constatent que les initiatives basées sur la technologie ouvrent la porte aux cyber-risques.

À mesure que la prolifération des technologies de l’information, la facilitation croissante de l’accès à distance aux ordinateurs d’entreprise et le risque correspondant de cybermenaces ont augmenté, l’attention portée à ces problèmes s’est également accrue. Les menaces posées par chaque source de risque peuvent être différentes et peuvent souvent nécessiter des approches différentes.

Par ailleurs, il est important de noter que les cyber-risques ne se contentent pas de souscrire aux menaces technologiques ou aux cibles des cybercriminels. Sa matérialisation n’a pas toujours pour but de générer ce type d’impact ou d’obtenir des avantages économiques ou financiers. Certaines attaques sont motivées, par exemple, par un acte de vengeance, le licenciement d’un employé, le frisson de causer du tort ou le défi personnel et intellectuel d’une attaque réussie.

Les sources internes

Ironiquement, un risque très élevé de cybercriminalité provient de l’intérieur plutôt que de l’extérieur de l’organisation. Bien qu’un employé puisse être le plus grand atout de l’entreprise, les employés sont constamment exposés à de grandes quantités d’informations confidentielles et, par nécessité, se voient confier l’inventaire et la propriété des informations exclusives de l’entreprise. Parfois, la tentation du gain individuel peut être trop grande. Ou encore, un employé qui a passé du temps à développer les informations importantes de l’entreprise peut estimer qu’il a droit à cette intelligence en raison du temps qu’il a consacré à la recherche et au développement de celles-ci. Par conséquent, une entreprise peut être exposée au vol de données ou de propriété intellectuelle de l’intérieur plutôt que de l’extérieur (Dupont (2010).

Le vol de données est le terme utilisé lorsque des informations sont illégalement copiées ou prises auprès d’une entreprise ou d’un autre individu. Le vol de données, de formules et d’informations de processus par les employés peut compromettre l’entreprise aussi facilement qu’une attaque de vol de données externes. En raison de leur position privilégiée, l’employé a plus de capacité à agir en tant qu’auteur puisqu’il a déjà une autorisation de confiance ou un mot de passe dans le cybersystème de l’entreprise pour des motifs légitimes, une autorisation qu’ils pourront ensuite retourner contre leur employeur (Dreyer (2019).

Une variable interne importante du cyber-risque perpétré en interne est le fait d’avoir des employés mécontents. Ces individus peuvent être motivés par la vengeance et tenteront de saboter ou de détruire des logiciels ou des bases de données d’entreprise, privant ainsi l’entreprise de leurs biens. Cette forme plus malveillante de cyber-risque doit être traitée de manière proactive en mettant en œuvre une initiative de sécurité d’entreprise bien conçue, qui comprend des politiques telles que la modification des mots de passe avant le licenciement des employés et l’application d’exigences strictes en matière de sécurité des mots de passe. La tenue d’un journal des accès des utilisateurs à tous les systèmes de l’entreprise peut également constituer une mesure préventive contre la cybercriminalité (Islam, S., Farah, N., Stafford, T. (2018 p.5).

Les sources externes

La possibilité de faire des affaires sans fil (connue sous le nom de commerce mobile ou m-commerce) est révolutionnaire et prend de l’importance et les entreprises modifient les représentations Web pour s’adapter à cette nouvelle modalité d’interface. Les vendeurs itinérants accèdent souvent à distance aux données de l’entreprise à l’aide d’appareils intelligents mobiles, souvent des téléphones intelligents, de sorte que le risque de sécurité sans fil en constante évolution est important pour toutes les entreprises.

Il existe cependant des distinctions importantes entre les risques associés à l’accès à l’Internet mobile et les risques plus connus du commerce électronique ou de la cybersécurité. Il existe des défis commerciaux uniques, des cybermenaces et des vulnérabilités de vol de données intégrés dans cette nouvelle modalité. La connectivité Internet mobile utilise un canal de communication différent rendant les transactions d’interface commerciale plus accessibles à plus d’heures et d’endroits, mais également un mode de communication physique différent de celui du commerce électronique. En raison de la mobilité de la communication, une interface entre les dispositifs d’accès est plus anonyme, ce qui rend plus difficiles la validation d’une transaction et la sécurisation de la transmission Internet. Les vols sont également plus difficiles à retracer jusqu’à l’auteur (Islam, Farah et Stafford (2018 p.6).

Les acteurs malveillants peuvent apprendre beaucoup des liens WiFi non cryptés à proximité. … si la connexion sans fil n’est pas elle-même cryptée à l’aide d’une norme moderne …, alors tout attaquant à proximité peut écouter tout le trafic non crypté circulant entre l’ordinateur et le routeur sans fil (KPMG, (2017).

La communication mobile diffère par les types d’appareils utilisés, les langages de développement, les protocoles de communication et même les technologies utilisées. Ces différences exposent les communications mobiles à de nouvelles menaces. Un système d’exploitation d’entreprise mobile fournit l’infrastructure pour exécuter des applications sur les appareils mobiles intelligents et un accès mobile aux ordinateurs de l’entreprise. Sans une infrastructure sécurisée pour les appareils mobiles, la réalisation d’une communication Internet mobile sécurisée ou d’une communication sécurisée entre les employés et l’employeur peut ne pas être possible.

Les enjeux économiques des cyberattaques pour les entreprises

Les cyberattaques comme la cybersécurité entraînent pour les entreprises un coût économique et de réputation, fondamentalement financier. Le cyber-risque est la possibilité de pertes financières et non financières causées par d’éventuels événements numériques causés par des agents internes ou externes de l’entreprise. Parmi les événements, le vol et la détérioration d’informations essentielles pour l’entreprise ou l’interruption de l’activité se distinguent. Ce risque est considéré comme un type de risque technologique et est inclus dans le risque opérationnel.

Motivés par la théorie du marché efficace, Eddé (2020) a utilisé une méthodologie d’étude d’événements pour mesurer indirectement l’impact économique des failles de sécurité Internet sur le processus de stockage des entreprises violées (ainsi que sur les fournisseurs de sécurité Internet). Selon l’hypothèse de marché efficace, toutes les informations sur les événements passés et futurs au sein d’une entreprise (ou d’une industrie) devraient être reflétées dans le cours de l’action, qui lui-même reflète les croyances des investisseurs sur les flux de trésorerie futurs vers les investisseurs. Une faille de sécurité peut amener à réfléchir à la vulnérabilité future ainsi qu’au risque juridique futur, et donc refléter une évaluation par le marché de l’impact sur les flux de trésorerie différente de la perte financière déclarée. Par conséquent, les entreprises préfèrent ne pas paraître vulnérables à leurs clients et concurrents ou à d’autres prédateurs potentiels. De plus, à l’ère de la gestion par le cours des actions, les entreprises retiennent également ces informations pour éviter de faire baisser le cours des actions et de perdre la faveur des investisseurs (Eddé (2020).

Par ailleurs, il est important de noter que le véritable coût des cyberattaques ne se manifeste que sur plusieurs années, ce qui complique grandement une estimation ex ante des coûts potentiels à long terme des violations.

Analyse des grands enjeux de l’atteinte de la cybersécurité

L’acceptation et l’introduction croissantes des technologies numériques, de la planification militaire et de l’armement ouvrent la perspective d’une cyberguerre qui, compte tenu de l’interdépendance mondiale des structures du réseau, affecterait inévitablement et profondément l’économie et les actifs sociétaux vitaux. L’utilisation hostile de ces technologies pourrait, pour des raisons factuelles et héritées, ne pas être clairement séparée du cyberconflit en général et soulève de sérieuses questions de contrôlabilité et de légitimité, ouvrant ainsi des perspectives de dommages très inquiétantes. Il y a le dilemme éternel que la croissance exponentielle et le développement ultra rapide des cybertechnologies et des nouvelles utilisations sophistiquées sont en conflit avec la croissance et la sophistication tout aussi exponentielle des options d’attaque (IFACI 2.0 (2020).

L’étonnante croissance quantitative et qualitative des cybersystèmes et des cyberinfrastructures dans une seconde révolution numérique s’accompagne d’une croissance égale, voire supérieure, des options d’attaque et donc des vulnérabilités. Pourtant, les avantages de l’ère numérique ne se concrétisent que s’il existe une confiance dans le fonctionnement, la fiabilité, l’intégrité et la sécurité des technologies sous-jacentes : ainsi, la cybersécurité est devenue un défi mondial.

Un taux de piratage accru

Loin d’être un phénomène atypique, les cyberattaques ou la multiplication des cybermenaces se multiplient. Les attaques les plus fréquentes survenues au cours de l’année écoulée font référence à la cybercriminalité et aux fuites d’informations (Eddé (2020 p.14). Concernant le degré de criticité de ces avis, ceux qui sont considérés comme « élevés » et « critiques » représentent les deux tiers du total. Ces avis mettent en évidence l’insécurité des informations stockées ou manipulées ; et il se manifeste par des avertissements liés aux informations d’identification intégrées dans les appareils et au manque de cryptage ou d’authentification, entre autres.

Les cybermenaces peuvent provenir de criminels bien organisés, de pirates informatiques ou d’un système d’espionnage promu par les pouvoirs publics. Les coûts directs et indirects causés par les cyberincidents dans le monde ont récemment été estimés à environ 388 milliards de dollars ; cela inclut, mais sans s’y limiter, les frais de vol, de fraude, d’extorsion et de perte de propriété intellectuelle (Eddé (2020 p.10). Outre l’impact financier direct, de récents incidents ont mis en évidence les graves implications commerciales des cybermenaces, allant de la chute des cours des actions et de la perte de valeur actionnariale à la perte de confiance du marché et des consommateurs.

Figure 1 : Recensement de cyber attaques par type de menace

Source : rapport d’activité 2019 du GIP Acyma

Ces chiffres reflètent incontestablement une tendance. Cependant, il n’existe aucune base de données publique recensant toutes les cyberattaques et le décompte de ces dernières est issu d’organismes privés. De plus, certaines entreprises qui ont subi des cyberagressions ne les rendent pas publiques soit par choix stratégique délibéré ou par ignorance même de l’incident. Cette sous-dénonciation impacte le chiffrage du phénomène, son appréhension globale et sa régulation.

Des attaques de plus en plus sophistiquées

Certains types de cyberattaques deviennent de plus en plus ciblés et sophistiqués au fil du temps, ce qui rend plus difficile pour les entreprises, les organisations et les gouvernements de les détecter et de les vaincre : « A ce jour, les sociétés de cybersécurité qui tentent de comprendre et de décrypter les causes des cyberattaques par ingénierie sociale font fausse route, tout en évoquant l’origine « humaine » du problème, elles font une erreur de diagnostic et de thérapeutique » (Teboul, B. (2022)p.15). Les attaques, techniques et approches malveillantes évoluent en permanence afin d’échapper aux forces de l’ordre, de contourner les progrès de la prévention et de la protection de la sécurité numérique et de mieux s’adapter aux vulnérabilités de leurs cibles.

Cependant, les attaquants essaient d’abord les méthodes d’attaque anciennes et bon marché, et ne gagnent en sophistication que lorsque les gains en valent la peine. De nombreuses entreprises, en particulier les plus petites, tombent dans de simples attaques de base, car elles manquent de la protection de base et d’une “hygiène” numérique minimale. Des approches plus sophistiquées ont tendance à cibler les entreprises qui ont déjà atteint ce niveau de référence. Les attaques de phishing, de déni de service et de ransomware continuent d’être répandues dans le paysage numérique (De Werra et Benhamou (2020 p.23).

Une violation du cyberespace de l’entreprise

« Conçu par l’homme, le cyberespace est à la fois porteur de croissance et d’innovation tout en demeurant profondément vulnérable face à des risques inédits, et en proie à l’exploitation malveillante de ses failles et vulnérabilités » (Poupard, G. (2018).

Ce qui différencie le risque cyber des autres risques est essentiellement son territoire d’application, puisque les risques cyber surviennent dans le cyberespace, et se propagent également à travers les réseaux connectés à Internet, à une vitesse jamais vue auparavant, ce qui en fait un risque aux caractéristiques volatiles, sans frontières définies et incorporels, pour lesquels les pertes sont généralement difficiles à quantifier. Le cyber-risque est un risque de nature stratégique et opérationnelle pour les entreprises, qui affecte leur fonctionnement au moment où l’information est violée dans sa confidentialité, son intégrité et sa disponibilité : « Le terme cyberespace est une abréviation commode pour une infrastructure complexe – probablement l’infrastructure la plus complexe jamais créée – composée de millions d’appareils mondialement interconnectés. Une analyse ou une politique basée sur une abstraction comme le cyberespace peut aggraver le risque d’inexactitude » (Lewis, J. (2014).

Ainsi, toutes les entreprises connectées à Internet, que ce soit uniquement via un portail virtuel ou un vaste réseau de serveurs, sont sujettes aux cyberattaques.

Au-delà de l’impact économique, qui peut être conséquent et même mettre en péril la viabilité de l’entreprise, les conséquences des cyberattaques peuvent également être dramatiques pour l’entreprise en termes de réputation et d’image de marque. Les entreprises sont donc exposées à des pertes dans leurs capacités opérationnelles, un manque d’accès à leurs propres informations pertinentes, une atteinte à la valeur de la marque, etc.

Naturellement, c’est l’étendue du cyberespace mondial, qui crée des zones de contrôle qui se chevauchent pour des acteurs nationaux ayant des approches juridiques et culturelles différentes et des intérêts stratégiques différents (Dejean, et Sartre (2015) p.29). Les pays du monde entier sont devenus suffisamment dépendants du cyberespace pour les communications et le contrôle du monde physique ; d’une manière dont il est définitivement impossible de s’en séparer. Par conséquent, les tâches et fonctions de sécurité de chaque pays sont de plus en plus affectées par le cyberespace (Delia (2014). p. 240-260).

De la conception scientifique, le cyberespace est défini comme étant un espace ayant un lien avec le monde du web et de l’internet ou encore le monde du multimédia. Dans ce monde immatériel, des échanges ainsi que des transferts des données et informations numériques ont lieu entre de nombreux acteurs. Si, au début, la conception d’un tel espace reposait seulement dans ces échanges, il est devenu, au fil de l’évolution du temps, un espace très complexe et surtout très étendu. Toutefois, octroyer une définition précise de ce terme reste très ardu, car il est constitué d’un ensemble d’éléments matériels qui opère dans un monde plutôt immatériel. Mais, dans une appréciation technique du terme, nous pouvons concevoir le cyberespace comme étant une zone où se joignent les informations et services qui émanent de partout dans le monde et qui sont interconnectés entre eux. C’est dans cette zone que les acteurs se communiquent entre eux et cela même à distance. D’où la qualification d’espace virtuel.

Par rapport à la considération du cyberespace comme étant un monde à portée d’un clic, la sécurité de cet espace reste une question d’une grande importance. En effet, le fait que cette zone soit une récente innovation de l’homme constitue encore une entrave à l’établissement des normes et des systèmes de régularisation de tout usage : « En dépit de la démocratisation des sensibilisations, il semblerait en effet que l’hygiène informatique réclamée pour chacun ne soit pas toujours respectée » (Weber (2017). Une situation qui rend encore très ardue la sécurisation des actions qui s’y effectuent ainsi que les usagers qui l’utilisent. Toutefois, l’intention de chaque acteur (entreprise, individu, État) qui en fait usage se consacre sur l’assurance de leur sécurité et aussi celle des actions qu’ils y entreprennent. À travers de cette intention, l’idée de la cybersécurité a vu le jour. Face aux nombreux risques ainsi qu’à la montée incessante des principales menaces du cyberespace, il est plus qu’important de mettre en place un système permettant de sécuriser la zone. D’où la formation du concept et le dispositif de la cybersécurité.

Ce concept de cybersécurité est devenu un défi pour de nombreuses entreprises pour se protéger contre les éventuelles menaces susceptibles de nuire à leur activité dans le monde du cyberespace. Par rapport à la définition de ce concept, elle est assez large et très variée, mais l’esprit de la conception reste la même. Dans l’engagement de chaque acteur concerné par les menaces, la mise en place d’un bon outil « la cybersécurité » est plus que primordiale. De ce fait, la cybersécurité est en quelque sorte une initiative informatique prise pour assurer le bon fonctionnement ainsi que la sécurité d’une activité dans le monde du cyberespace.

Des risques qui peuvent provenir de l’erreur humaine

La mesure de la prévalence et des coûts des incidents numériques reste un défi en raison du manque de normes internationales et de données comparables. Les données disponibles doivent être interprétées avec prudence, car soit les entreprises ne comprennent pas leur exposition réelle au risque ; ou ne détectent pas les incidents ; ou ne mesurent pas leur impact de manière standard ; et pourraient ne pas les signaler du tout. Néanmoins, lorsqu’elles sont interprétées avec soin, certaines tendances émergent des preuves (Hazane (2016). p.12-16).

Par exemple, des vulnérabilités surviennent lorsqu’un administrateur système néglige de mettre en place des contrôles de sécurité pour limiter l’accès aux données de l’entreprise publiées sur une plate-forme cloud (mauvaise configuration), ou la menace augmente lorsque des données sensibles sont envoyées au(x) mauvais destinataire(s) comme la saisie semi-automatique ” À : » ou « Cc : » dirige un e-mail vers la mauvaise partie (erreur de livraison). Dans d’autres cas, il peut s’agir d’un faux pas de publipostage où les adresses ne sont plus associées au contenu correct. Ces erreurs, y compris une administration incorrecte, l’exposition accidentelle d’hôtes ou une mauvaise configuration des protocoles et des contrôles, peuvent être liées à un passage rapide au cloud et à un manque général de compréhension de la sécurisation des environnements et des services cloud (Islam, Farah, et Stafford (2018). p.11).

Défis de sécurisation du système et gestion de risque

En analysant le panorama des cybermenaces et l’impact sur les entreprises aujourd’hui, il est essentiel de sensibiliser et de renforcer certains sujets d’affaires qui sont de la plus haute importance pour les décideurs des organisations de différents secteurs. Selon Thierry et Schafer (2019) « si les objectifs varient peu (neutralisation des moyens de communication, d’approvisionnement, désorganisation, etc.), l’identification de la menace est quant à elle toujours problématique et place les acteurs chargés de la défense des réseaux dans une position difficile pour la caractériser et y répondre efficacement » p.10.

Le monde des affaires est toujours sur le point d’aborder les problèmes liés à la cybersécurité de la bonne manière et ce fait rend très difficile l’adoption d’une bonne cyberstratégie. Cela se voit clairement dans la façon dont les entreprises mesurent les risques et l’impact qu’aurait une cyberattaque, car bien souvent les entreprises ne se concentrent que sur les coûts directs qui y sont associés, alors qu’elles devraient également prêter attention aux coûts intangibles liés à ces attaques (Kempf (2015 p. 153).

Face à la hausse spectaculaire des cybermenaces, les entreprises doivent absolument adopter de bonnes pratiques. Bien qu’il existe un certain nombre de défis informatiques, il se montre important dans cette section de présenter ceux qui sont les plus importants pour les entreprises.

Sécurité

L’un des principaux défis auxquels l’informatique doit faire face aujourd’hui est la sécurité ou la cybersécurité. La multitude de données, d’identités et d’informations personnelles que nous partageons et traitons quotidiennement est si élevée que sa protection est devenue un défi, compte tenu de la valeur extrêmement élevée de ces actifs pour toute organisation.

Accessibilité

L’accessibilité et la disponibilité des données sont cruciales, en particulier pour les profils ayant des responsabilités plus importantes au sein d’une organisation. Rendre les données accessibles à toutes les parties avec interopérabilité serait facile. Cependant, malgré la connaissance des grands avantages qu’il peut offrir, il reste encore de nombreuses tâches à accomplir par l’informatique, afin de l’étendre à davantage d’industries et d’entreprises.

Des réseaux solides

Garantir des réseaux internes solides, résilients et évolutifs est un aspect très important et un grand défi informatique en même temps. Non seulement les solutions doivent être planifiées pour répondre aux besoins actuels, mais elles doivent toujours être tournées vers l’avenir et vers les avancées technologiques futures, de manière à ce que l’obsolescence n’ait pas sa place dans l’organisation.

Système d’intégration

Assurer la bonne intégration des différents services, écrits tour à tour dans des technologies ou des langages différents, est un défi de mise en œuvre pour l’informatique dans de nombreuses organisations.

Réduction des coûts

La réduction des coûts est un aspect fondamental pour pouvoir extrapoler les progrès technologiques continus à la société, aux entreprises et aux industries. Face à cela, les ingénieurs informatiques doivent continuer à analyser et développer de nouvelles solutions technologiques en un temps record.

Face à ces situations, certaines actions sont mises en place dans les entreprises pour faire face ou se prémunir des cyberattaques. Parmi cela, il y a les moyens de défense comme la sécurisation des données, les vigilances, la résilience ; et les moyens pour maitriser les modes opératoires de la cybercriminalité.

Cybersécurité des TPE et des PME

Il ne fait aucun doute que les petites et moyennes entreprises (PME) sont considérées comme un élément fondamental de la croissance et de la stabilité des économies du monde entier. Il faut rappeler que tout type d’entreprise dirigée par moins de 250 employés est considéré comme une PME. Les technologies de l’information (TI) sont devenues une exigence fondamentale des PME en raison des avantages qui peuvent être générés en s’appuyant sur ces technologies., De plus, les PME, comme d’autres entreprises, ont été contraintes d’adopter le commerce électronique afin de prospérer dans l’environnement économique concurrentiel actuel.

Pourtant, les PME augmentent sans le savoir leurs menaces de cyberattaques qui augmentent les vulnérabilités en adoptant divers moyens informatiques. Les tendances de vulnérabilité informatique les plus courantes à l’heure actuelle sont la collaboration sociale, l’expansion de l’utilisation des appareils mobiles, le déplacement du stockage des informations vers le cloud, la numérisation des informations sensibles, le passage aux technologies de réseau intelligent et l’adoption d’alternatives de mobilité de la main-d’œuvre.

Dans cette section, nous définirons et analyserons les types de cyberrisques auxquels la plupart des PME et TPE sont confrontées, ainsi que la répartition des cyberrisques pour ces types d’entreprise :

Par définition, la cyberattaque constitue le fait de mettre en place un acte de malveillance envers des systèmes informatiques. Plus explicitement, c’est une atteinte à des systèmes informatiques effectués dans un but malveillant. L’attaque est normalement réalisée dans le cadre du cyberespace et tend à la perturbation voire la destruction les données ou l’infrastructure informatique en question : « La dépendance de la société moderne vis-à-vis des systèmes informatiques complexes pour les fonctions centrales du gouvernement et de l’économie, l’interconnexion de ces systèmes entre eux et avec les fonctions qu’ils soutiennent, signifient qu’une cyberattaque peut avoir des conséquences en cascade affectant les activités essentielles de tout un panel de secteurs et de juridictions » (Kello (2014). p. 139 à 150). De manière encore plus méthodique, « la cyberattaque est une agression très massive lorsqu’il s’agit d’attaques informatiques génériques visant les entreprises, les professions libérales ou les particuliers, essentiellement à des fins de gain financier par l’escroquerie, le vol ou le chantage » (Bannelier et Christakis, (2017 p.3). Elle peut aussi être qualifiée d’acte offensif envers un dispositif naviguant dans le cyberespace. Qu’il s’agit du système, de l’infrastructure ou encore les réseaux.

Les cibles de cette pratique préjudiciable sont plus de nombreux acteurs opérant dans le cyberespace. Cela implique les entreprises, les individus et aussi les institutions étatiques. Cependant, dans notre domaine de recherche, nous allons nous concentrer sur les entreprises. Ce sont ces dernières qui sont les premières victimes des cyberattaques. Parmi elles, on y retrouve les petites et moyennes entreprises (PME) et les très petites entreprises (TPE). En ce qui concerne les PME, ce sont les entreprises dont les chiffres d’affaires n’excèdent pas les 50 millions d’euros avec un nombre d’employés assez moyens (aux environs de 250 personnes). Et pour ce qui est des TPE, il s’agit des ensembles des entreprises qui occupent quelques salariés (environ une dizaine de salariés) et avec un chiffre d’affaires annuel tourne autour de 2 millions d’euros. Plusieurs raisons peuvent expliquer l’acharnement de ces espions sur ce genre d’entreprise.

Même s’il faut admettre que certaines grandes entreprises sont également des victimes, surtout ces dernières années. D’ailleurs, en 2021, nous pouvons en citer quelques-unes qui ont été les plus marquantes. Le cas de CNA Financial (une entreprise assureur des États-Unis) peut en être un exemple parfait de cyberattaque. En effet, suite à l’attaque qualifiée de « ransomware » que cette entreprise a subie, des arrêts de service ainsi qu’un paiement de rançon équivaut à 40 millions de dollars ont eu lieu. Un cas presque similaire fut découvert avec l’assureur français « AXA » qui lui aussi était victime de piratage et vol de données. Lors de ce piratage, l’entreprise a subi une perte financière de 5,5 milliards de dollars. Ajouté à celle-ci, d’autres entreprises françaises sont également concernées comme SVI assurance, l’Arca Assurance, AssurOne ou encore l’Assu2000. Elles étaient toutes victimes de la même attaque (rançongiciel).^²

Un autre cas qui retient aussi notre attention est celui qu’a connu la société Apple avec la sortie de leur produit iPhone X en 2017. L’instauration du système de reconnaissance faciale très complexe et sophistiqué dans ce produit a voulu témoigner l’assurance de la cybersécurité. Toutefois, à travers l’ingéniosité d’une entreprise vietnamienne (Bkav), ce système a été dupé. Ce qui constitue une attaque envers la société Apple (Meziat et Guille (2019 p.1).

Les principaux risques cyber pour les PME

Décrire les menaces de cybersécurité dans les PME pourrait être une solution clé pour les aider à comprendre le concept principal de cybersécurité. Selon Hazane (2016), « Si la plupart des grandes entreprises sont désormais confrontées aux principales menaces numériques, à savoir la déstabilisation, l’espionnage ou le sabotage [9], les PME/TPE sont surtout confrontées à de la cybercriminalité » p.16). Pourtant, de nombreux signes indiquent que les PME sous-estiment les cybermenaces en n’utilisant pas de mesures de sécurité efficaces (Hazane (2016) p.14). La plupart des experts ont admis que les cybercrimes seraient la plus grande menace pour toute entreprise, tandis que les PME estiment qu’elles ne sont pas vulnérables en raison de leur taille.

Les pirates informatiques ont augmenté de façon exponentielle le nombre de cybermenaces ces dernières années. Cependant, ils ont tous un dénominateur commun : ils sont fréquents et leur impact économique peut être dévastateur pour les entreprises. Certains des principaux cyberrisques pour les PME sont : les ransomwares, le phishing, les attaques DDOS, les logiciels publicitaires ou le piratage Wi-Fi. Cependant, ils ne sont pas tous également susceptibles de menacer la structure d’une entreprise.

Par exemple, l’attaque DDOS est plus fréquente dans les PME et le e-commerce, tandis que les attaques de rançongiciels (détournement de données) paralysent généralement les grandes entreprises du secteur de l’énergie ou de la finance ou même les organismes gouvernementaux pour demander plus tard de grosses sommes d’argent pour la rançon (Lagare (2021).

Tableau 2 : Les cyber risques pour les PME

Types de risques cyber	Caractéristiques
Attaques contre les systèmes physiques	Les attaques contre les systèmes physiques comprennent les attaques matérielles provenant d’ordinateurs portables, d’ordinateurs, de tablettes et de disques durs. D’autres attaques incluent les attaques de terminaux non protégés à partir de périphériques extérieurs, l’effraction des serveurs, le piratage du réseau interne, etc.
Attaques d’authentification et de privilège	Les attaques d’authentification et de privilège incluent des exigences de mot de passe insuffisantes, des employés mécontents, des comptes à privilèges élevés et une dérive des privilèges. Cela se produit généralement en raison de protocoles de cybersécurité inappropriés.
Déni de service	Le déni de service comprend les catastrophes naturelles telles que les interruptions de connexion et les coupures de courant. Le déni de service ciblé tel que l’épuisement de la bande passante, l’attaque de service vulnérable et la défaillance ponctuelle est généralement causé par une dépendance excessive à une personne ou à quelques individus. D’autres types de dénis de service comprennent une prévention inadéquate contre les cyberincidents et le manque de documentation appropriée.
Contenu Internet malveillant	Le contenu Internet malveillant comprend l’ingénierie sociale telle que les attaques de phishing, les logiciels malveillants causés par des virus, le cheval de Troie et les virus inappropriés entraînés par des téléchargements et les attaques d’applications Web.

Source : adapté de Bannelier et Christakis (2017)

Cependant, en réalité, les PME sont une cible potentielle et croissante pour les cybercriminels. En raison de l’augmentation du nombre de cyberattaques, la cybersécurité devient une préoccupation croissante pour les propriétaires de petites entreprises. Cela renforce le fait que les cybercriminels ne font pas de distinction entre les grandes entreprises et les PME, tant que c’est rentable et lucratif. Ils cibleront toute entité qui possède des données précieuses et un système de sécurité faible. Les exemples incluent les informations de carte de crédit et les numéros de sécurité sociale. Par conséquent, les informations que les PME détiennent actuellement ont une valeur considérable pour les cybercriminels.

À mesure que les PME et les TPE intègrent les nouvelles technologies dans leurs activités, leur exposition au cyberrisque augmente. Les entreprises doivent développer une compréhension de ce qui est le cyberrisque et de l’étendue de leur exposition récente en ce qui concerne leur secteur d’activité. Pourtant, plus de la moitié des PME ne réalisent pas qu’elles sont mal protégées contre les cybermenaces. Si certaines PME sont conscientes de ces menaces, elles ne pensent pas que des mesures préventives supplémentaires doivent être prises pour se protéger : « les PME se pensent trop souvent à l’abri du danger car elles ont déjà pris des mesures d’ordre technique (logiciels, pare-feu…) qu’elles estiment, à tort, imparables. Cela va prendre encore du temps pour que le réflexe cyber-assurance s’impose au sein des petites entreprises malgré mon rôle de conseil. Il est regrettable qu’une police d’assurance soit souscrite après que l’incident ait eu lieu, c’est pourtant mon quotidien » (Senat 2022)

Les cyberattaques ayant le plus d’impact sur les PME/TPE

Une étude menée par l’IFOP en 2021 a mis évidence les grandes cybermenaces avec un fort impact sur les PME/TPE :

Adware, l’un des cyber-risques les plus utilisés par les pirates. Ce sont des programmes ou des fichiers qui sont installés sur un système numérique avec ou sans le consentement de l’utilisateur pour afficher de la publicité de manière incontrôlée. Ils présentent un risque moindre que les autres, mais, dans la plupart des cas, il est difficile de s’en débarrasser ;
Attaque DDOS : les attaques par déni de service distribué sont généralement menées contre des entreprises ayant des modèles commerciaux numériques. Ils sont plus difficiles à détecter à temps que d’autres comme les adwares, les malwares ou le phishing. Les mesures de sécurité sont comparables à l’installation d’une « armure » autour de l’infrastructure du site Web ;
Piratage Wi-Fi : cela se présente généralement à travers des problèmes de vitesse avec le réseau, cela est peut-être dû à une vulnérabilité du réseau Wi-Fi. Cette attaque compromet la sécurité des PME, car elle permet la visibilité des documents sur les appareils connectés.

Comment les PME/TPME se protègent-elles ?

Une préoccupation constante dans la littérature a été le manque de sérieux dans les manières habituelles des PME de faire face aux menaces de cybersécurité. Par exemple, les PME ne sont pas apparues concernées par la pression normative de la communauté de la cybersécurité, comme à travers les pratiques professionnelles. Par conséquent, les personnes autorisées participent généralement inconsciemment à des pratiques à risque qui pourraient affecter la sécurité, la confidentialité, les données et les mesures techniques de prévention en vigueur. Comme le souligne une autre étude, la plupart des experts en cybersécurité ont supposé que les pratiques de sécurité actuelles utilisées par les PME pourraient être un obstacle à l’efficacité en raison du manque d’engagement des PME et des connaissances qui seraient acquises auprès des grandes entreprises (Bpifrance (2017). p.15).

En outre, l’externalisation des installations telles que le cloud serait une solution clé pour les PME ; cependant, les avantages de l’externalisation ne répondraient jamais au besoin de bonnes pratiques (De Werra et Benhamou (2020 p.7). Il a été avancé que davantage d’activités de formation augmenteraient les connaissances, mais cela ne se refléterait pas nécessairement dans les bonnes pratiques de cybersécurité. Ainsi, s’il n’y a pas de changements réels dans les pratiques et les politiques pour résoudre le problème, les PME resteront une cible privilégiée de ceux qui cherchent à tirer profit de la cybercriminalité (De Werra et Benhamou (2020 p.4-5).

La cyber-sécurité reste encore un défi de taille pour les PME/TPE

De Werra, J., Benhamou, Y. (2020) mentionnent que les organisations investissent plus que jamais dans la sécurité de l’information. Selon Kremer et al. (2019, p.2), il y a une augmentation des cyberattaques ciblant les PME, qui manquent également de mécanismes de défense suffisants, principalement en raison de la limitation des ressources financières et d’une pénurie de personnel de sécurité qualifié. De nos jours, les PME dépendent fortement des systèmes d’information, ce qui signifie qu’elles sont considérées comme des cibles viables par les cybercriminels. Ceci est troublant puisque les systèmes organisationnels fonctionnent dans une large mesure dans un environnement socio-technique. Coutant (2022) postule que dans cet environnement, les systèmes interagissent avec les organisations, les humains et d’autres systèmes en partageant diverses tâches et informations. De plus, les auteurs précisent que le contexte dans lequel ces systèmes fonctionnent, la divulgation non autorisée d’informations peut être le résultat d’une erreur humaine que les méthodes de sécurité traditionnelles ne prennent pas en compte de manière adéquate. En réalité, les contre-mesures envisagées doivent commencer par une analyse exhaustive du contexte sociotechnique afin de faire face pleinement aux menaces techniques, sociales et organisationnelles (Coutant (2022).

L’Agence de l’Union européenne pour la cybersécurité a mené des entretiens avec des PME européennes pour formuler des incidents réels fondés sur des preuves qui se sont produits pendant la pandémie et tirer les leçons apprises pour les surmonter en termes de cybersécurité.

Les cyberincidents les plus courants identifiés étaient les attaques de ransomwares, les vols d’ordinateurs portables, les attaques de phishing et la fraude à la direction. Ce dernier est un leurre destiné à inciter un membre du personnel à agir sur un e-mail frauduleux de son PDG et à demander généralement qu’un paiement urgent soit effectué à un fournisseur afin de respecter un délai de projet.

La recherche et l’expérience de la vie réelle montrent que ce sont les organisations qui gèrent les cyberincidents sont beaucoup plus efficace que celles qui ne planifient pas ou n’ont pas les capacités dont elles ont besoin pour faire face correctement aux cybermenaces.

Par ailleurs, force est de constater que les cyber risques sont des défis importants pour les PME et TPE, car les cyberattaques peuvent avoir des conséquences importantes sur leurs activités : atteinte à la réputation, la perte de clients, le retard du client, la capacité de l’entreprise à fonctionner, le temps de récupération, la perte d’argent et d’économies et la faillite de l’entreprise.

Également comme indiqué par De Werra et Benhamou (2020, p.7) la gestion des risques au sein des PME est généralement considérée comme inadéquat, en raison de divers facteurs. Les auteurs postulent que la direction est rarement suffisamment préparée et éduquée au processus de gestion des risques. De plus, De Werra, J., Benhamou, Y. (2020) suggèrent que les dirigeants des PME apprennent généralement par l’expérience, ce qui signifie que la théorie est généralement ignorée. Il y a également un manque de soutien pour les PME lorsqu’il s’agit de mettre en œuvre un programme destiné à la gestion de la sécurité, en particulier lorsqu’il s’agit de rechercher des cadres et des normes couramment utilisés.

En outre, force est de constater que les normes disponibles pour la gestion des risques aujourd’hui n’incluent pas de prise en charge des situations spécifiques rencontrées par les PME, ce qui entraîne une différence entre ce qui est énoncé dans la théorie et l’exécution. Un autre défi que les PME doivent prendre en compte est le manque de ressources pour mettre en œuvre correctement un processus de gestion des risques.

La question de sensibilisation

Sous-estimer la sensibilisation à la cybersécurité entraîne des risques considérables pour tous les actifs de l’organisation. Les PME souffrent probablement d’un manque de connaissance des types de cyberattaques, ce qui affecte significativement leur sensibilisation aux cybercrimes. Par conséquent, les actions des employés pourraient finalement affecter le succès ou l’échec des initiatives de cybersécurité de l’entreprise. Les PME doivent être conscientes des conséquences de la cybersécurité et essayer d’y faire face, car cette prise de conscience pourrait potentiellement les amener à adopter les bons comportements (Revue de la Gendarmerie Nationale (2019, p.19).

Illustration 1 : Les enjeux des cyber attaques pour les PME / TPE

Source : CDI (2018), p.7

Atteinte à la réputation

Pour se développer sur long terme, les PME ont besoin d’une solide réputation. Selon l’enquête KPMG (2021), les PME ne pensent pas que les cyberincidents affecteront leur réputation. Cependant, les cyberincidents ont un impact sur leur réputation. Par ailleurs, une enquête menée par KPMG démontre que les tiers des PME qui ont souffert de cyberviolations ont porté atteinte à leur réputation. Dans cette enquête, KPMG a défini l’atteinte à la réputation comme la perte de clients, la capacité d’attirer de nouveaux employés et la capacité de gagner de nouveaux contrats.

Perte de clients

Pour toutes les entreprises, les clients sont la clé fondamentale du succès. Selon Hazane (2016), un client sur dix cessera de faire affaire avec l’entreprise qui a subi des cyberattaques, et un client sur quatre lui fera moins de commerce. De même, dans l’enquête menée par KPMG, 4 consommateurs sur 5 se demandent quelles entreprises ont accès à leurs données et si ces données sont sûres. Par conséquent, toute cyberviolation pourrait réduire considérablement la confiance des clients dans l’entreprise et peut conduire à une augmentation potentielle de la perte de clients.

Retard du client et réduction de la capacité d’exploitation de l’entreprise

L’incapacité à fonctionner en raison du manque d’accès à la base de données de l’entreprise peut conduire à la frustration du client et de l’organisation elle-même (Hazane, 2016). D’autres conséquences telles que le fait de payer quelqu’un d’autre pour résoudre le problème et d’éventuels frais juridiques empêchent également le bon fonctionnement de l’entreprise.

Le temps de récupération a une corrélation directe avec le retard client et l’interruption de l’activité. Plus il faut de temps pour revenir à la normale, plus il faut de temps aux clients pour faire des affaires avec l’entreprise, ce qui à son tour crée une interruption d’activité plus longue. Ce cycle aura également un impact indirect sur la réputation de l’entreprise et la fidélité des clients (Hazane, 2016).

Perte d’argent

La cible la plus courante des cyberattaques est les sources de liquidité. Ces dernières années, les PME sont confrontées à une augmentation considérable du montant d’argent volé sur leur compte bancaire en raison de cyberattaques (IFACI 2.0 (2020 p.14). De plus, même si les PME peuvent porter plainte pour fraude et se faire rembourser leurs pertes, le préjudice causé à leur entreprise a déjà été fait.

Échec de l’entreprise

Il n’y a pas une seule cause de cyber attaques directement liée à l’échec d’une entreprise, mais plutôt une combinaison des causes énumérées ci-dessus. Une combinaison de dommages à la réputation, de perte de clients, de retards, de la capacité à fonctionner, de temps de récupération et de perte d’argent alimente le fait qu’une grande majorité des PME risque de fermer leur porte dans les six mois suivant une cyberattaque (IFACI 2.0 (2020).

Figure 2 : Les impacts possibles des cyberattaques sur les PME

Source : Sondage OpinionWay pour le CESIN (2018, p.3)

Selon cette illustration, non seulement l’impact commercial est énorme, mais il y a de nombreux défis à surmonter. Le risque cyber auquel les PME sont actuellement confrontées est très complexe. En raison de la complexité inhérente à chaque catégorie, il est difficile pour une PME de maîtriser les concepts et d’utiliser efficacement ces connaissances pour protéger l’entreprise d’une cyberviolation.

Un autre niveau de complexité est que les PME/TPE sont présentes sur de nombreux types de secteurs d’activité, tels que les services financiers, les magasins de détail, les soins médicaux, les administrations, la technologie et les logiciels, l’éducation et d’autres groupes plus petits. Différents secteurs d’activité des PME sont exposés à différents types de cyberrisques et à différentes fréquences de cyberattaques. Les données volées concernent généralement des numéros de sécurité sociale. La perte de ces numéros critiques peut souvent conduire à des vols d’identité. Ainsi, un autre défi auquel les PME sont confrontées est d’établir un plan de gestion des cyberrisques adapté aux caractéristiques de leurs secteurs d’activité uniques.

Résilience des TPE-PME à ces risques

La cyber-résilience peut être considérée comme une forme physique numérique. C’est la capacité de garder en sécurité, les données et les appareils en ligne, quelles que soient les menaces qui se présentent. Plus qu’une simple défense contre une seule menace, il s’agit d’une protection de bout en bout contre les cybermenaces et la perte de données.

La cyber-résilience est un concept plus large couvrant la continuité des activités, la sécurisation des processus commerciaux critiques, l’identification des vecteurs de menace potentiels, la gestion des risques, la minimisation de la gravité des attaques et la mise en œuvre de procédures pour résister aux incidents de cybersécurité. La cyber-résilience permet à une organisation de poursuivre ses activités commerciales normales sans aucune interruption pendant et après des événements perturbateurs tels que des cyberattaques ou des défaillances techniques. Lorsqu’elle est bien faite, la cyber-résilience permet à une organisation de rester opérationnelle malgré des cyber-perturbations importantes (Swiss (2020).

Les PME/TPE ont besoin de capacités de cyber-résilience. Cependant, en raison de leurs ressources limitées, elles n’ont généralement pas de personnel dédié à l’opérationnalisation de la cyber-résilience et manquent donc de l’expérience nécessaire à la mise en œuvre de cette discipline.

Pour aider ces catégories d’entreprise dans leur opérationnalisation de la cyberrésilience, la littérature actuelle propose plusieurs types de solutions, mais ces solutions sont généralement ciblées pour les entreprises disposant de plus de ressources que les PME/TPE et n’aident pas dans le processus complet d’évaluation de leur cyberrésilience actuelle, de décision d’actions pour l’améliorer et de hiérarchisation des actions.

Le manque de résilience des PME et TPE face aux cyberattaques peut s’expliquer par les raisons suivantes (Swiss (2020) :

Peu d’actions concrètes pour faire face aux risques : les ressources limitées dont disposent ces entreprises leur font avoir des exigences particulières dans un cadre de cyber-résilience. De plus, toutes les politiques ne s’appliquent peut-être pas aux petites entreprises qui ne disposent généralement pas d’une cyberinfrastructure complexe ;
Manque de connaissance du risque cyber : Parce que le cyberrisque est difficile à comprendre, la plupart des PME manquent de connaissances sur le cyberrisque et ne sont pas en mesure de gérer ces menaces par elles-mêmes. De plus, il existe une myriade de solutions de cybersécurité disponibles sur le marché, mais les PME n’ont pas accès à des conseils fiables sur la façon de créer un plan de gestion des cyberrisques solide. Le dernier défi est que bien que la cyberassurance soit considérée comme une solution de cybersécurité, la cyberassurance n’est pas facilement accessible aux PME.
Manque de solutions clé en main
Manque de moyens financiers

Partie 2 : Analyse des cybermenaces et de la cybersécurité dans les PME/TPE

Dans cette seconde partie, notre objectif est d’analyser et d’évaluer la pratique réelle des PME/TPE en termes de cyber sécurité en menant des entretiens semi-directifs auprès d’un échantillon d’entreprise.

Méthodologie de recherche

La recherche ne se limite pas à décider d’une approche qualitative ou à mener une étude de cas. Pour vraiment résoudre un problème de recherche avec succès ou approfondir le sujet, une méthode de recherche doit être développée. La méthodologie de recherche contient le plan général de la recherche, quelles données doivent être collectées, comment les données doivent être collectées, comment l’analyse sera effectuée, entre autres. Cette information est fondamentale, car elle permet aux chercheurs de gagner du temps et des ressources grâce à une préparation adéquate.

Pour la réalisation du mémoire, il est opportun d’opter pour des méthodes de recherche stratégique afin d’obtenir les éléments suffisants et des informations pertinentes nous aidant à mieux analyser le sujet de recherche.

La sélection des entreprises approchées et leur pertinence pour ce sujet seront également abordées ainsi que la qualité de l’étude.

Cette méthodologie décrit un cadre pour la conduite de la recherche, approfondissant les méthodes utilisées pour collecter les données ainsi que les stratégies de recherche adoptées.

Par conséquent, la conception de la recherche consiste en une méta-étude qualitative du type analyse des métadonnées : L’analyse des métadonnées est l’analyse de données à partir d’études de recherche qualitative sélectionnées, afin de créer un corpus de connaissances intégré et systématiquement développé sur un phénomène spécifique (Pope C, Mays N. (2006 p.9).

Dans cette procédure, l’analyse des données est effectuée en comparant chaque rapport de recherche individuel avec tous les autres rapports qui ont un objectif commun ou partagent des propriétés spécifiques et génériques. Il s’agit d’apporter une compréhension plus large et originale du phénomène étudié que les investigations individuelles sur lesquelles il se fonde. Le principal avantage de l’analyse des métadonnées est que les chercheurs évitent les biais théoriques et méthodologiques, en partant d’une homogénéité qui rendra plus faisables l’analyse et la synthèse ultérieure (Dumez, H. (2013 p.10).

Étude qualitative

Compte tenu du caractère exploratoire du contexte de cyber risque dans les PME/TPE, les méthodes de recherches qualitatives semblent être les plus adaptées pour mener les travaux de recherche.

La recherche qualitative est l’un des processus de génération de connaissances destinées à comprendre les modes de vie, les histoires et les comportements des personnes, les structures organisationnelles et les changements sociaux (Dumez (2013 p.12). Cela signifie que les chercheurs essaient de donner un sens ou d’interpréter les choses dans leurs environnements naturels en termes d’incidents auxquels les gens donnent un sens.

La conception de la recherche est utilisée pour structurer, planifier et motiver les principales activités et décisions du projet de recherche, ainsi que pour souligner comment les différentes parties travaillent ensemble pour répondre à la question de recherche. Dumez (2013) a caractérisé cinq conceptions de recherche qualitative courantes ainsi que des directives générales sur la façon de les appliquer. Elles sont les suivantes : étude de cas, ethnographie, études phénoménologiques, études théoriques ancrées et analyse de contenu.

La méthode de recherche qualitative permet au chercheur de se concentrer sur un problème commercial vu à travers le prisme du point de vue des praticiens dans un cas délimité. Les méthodes de recherche quantitative permettent aux chercheurs d’utiliser un échantillonnage aléatoire de données empiriques pour déterminer les relations et les différences entre les variables (Dumez (2013 p.23).

Les études qualitatives sont appropriées lorsque le chercheur se concentre sur des phénomènes existants dans des situations réelles (Drapeau (2004 p.20). Pour la recherche qualitative, Drapeau (2004) mentionne que chaque approche a deux choses en commun, la première étant de se focaliser sur un phénomène qui se produit ou s’est produit dans un milieu naturel. Deuxièmement, le processus de capture et d’étude de la complexité du phénomène, sans chercher à simplifier ce qui est observé. Au lieu de cela, le chercheur considère qu’il y a plusieurs couches et dimensions qui doivent être reconnues, qui doivent finalement être illustrées. En ce qui concerne l’étude actuelle, le phénomène en question est les défis pratiques de mise en œuvre de la cybersécurité dans les PME. Le processus de capture et d’étude du phénomène s’est déroulé pendant et après les entretiens menés. Il est même rationnel de supposer que la majeure partie de l’étude du phénomène se produit après les entretiens, principalement en reliant la théorie aux conclusions des documents de transcription.

Ainsi dans cette étude, nous avons décidé d’adopter une méthode et une conception qualitative d’études de cas multiples pour explorer les stratégies de défenses des PME/TPE face aux cyber risques.

Une méthode d’étude qualitative permet de comprendre les phénomènes en fonction de l’expérience et des connaissances subjectives des participants (Drapeau (2004 p.12). Le chercheur doit sélectionner la meilleure méthode de recherche pour l’étude prévue. Également, la méthode qualitative est la plus appropriée lorsque le chercheur tente de comprendre le fonctionnement d’une organisation (Corbin et Strauss (2007). Ainsi, nous avons centré nos recherches sur les expériences et les perspectives de certains chefs d’entreprises qui ont développé des stratégies pour répondre aux risques cyber.

Dans une étude qualitative, les chercheurs explorent un problème existant difficile à comprendre sans enquête, en utilisant un ensemble limité de participants et de temps. Les chercheurs qualitatifs posent des questions sur le pourquoi et le comment centrées sur le phénomène étudié. En utilisant son expérience personnelle et professionnelle, le chercheur interprète les idées et les perspectives uniques des participants (Pope et Mays (2006 p.15).

Entretiens semi-directifs

Le recours à l’entretien semi-directif a pour objectif l’exploration en profondeur d’un univers. On recherche la richesse du contenu, sa profondeur, sa qualité et sa diversité. On travaille donc avec des échantillons de taille réduite qui n’ont aucun objectif de représentativité au sens statistique du terme, mais qui répondent à des critères de pertinence de la structure de population étudiée compte tenu du problème spécifique d’étude.

Dans cette étude, des entretiens semi-directifs ont été menés en utilisant un ensemble prédéfini de questions ouvertes. Les entrevues semi-structurées ont été menées à l’aide de conversations en face à face. Pour assurer la crédibilité et la rigueur de la collecte et de l’analyse des données, les mêmes questions ont été posées à chaque personne interviewée afin quelques questions supplémentaires en fonction des réponses obtenues.

La méthode d’interview est l’une des méthodes les plus couramment utilisées pour la collecte de données dans les recherches qualitatives. La méthode d’entretien semi-structuré permet aussi de raconter le monde qu’il perçoit avec ses propres opinions.

Même si certains auteurs préconisent que les entretiens soient réalisés « à l’extérieur du lieu de travail (…), car tous les éléments rappelant aux sujets le monde du travail perturbent la situation », nous avions décidé de réaliser les entretiens in situ en déportant directement vers nos différents répondants. Mais les mesures liées à la pandémie du COVID-19 nous ont contraints à réaliser certains entretiens par Skype ou WhatsApp.

Échantillon et guide d’entretien

La validité interne de la recherche est assurée en évitant trois biais qui sont reliés au contexte de la recherche, au recueil des données et à l’échantillon.

Lors de la réalisation d’un entretien semi-directif, les chercheurs ne déterminent pas un échantillon représentatif de la population. La méthode d’échantillonnage choisie pour cette étude était l’échantillonnage raisonné. L’échantillonnage de population raisonné permet de sélectionner des entreprises de taille moyenne et réduite qui ont déjà fait face à des cyberattaques ou qui risquent d’y faire face dans les années à venir. En tout, les participants étaient au nombre de 15 entreprises.

Traitement des données

Selon Wacheux, (1996) les chercheurs peuvent utiliser la recherche quantitative pour collecter des données, souvent par le biais d’enquêtes, dans le but de généraliser ou de faire des inférences basées sur les résultats. Les inférences sont nécessaires puisque la recherche quantitative implique la collecte de données auprès d’un sous-ensemble d’une population entière. D’autre part, la recherche qualitative fait généralement référence au processus de collecte et d’analyse de données textuelles, tel que des entretiens, des observations, des ethnographies ou des groupes de discussion (Wacheux (1996). La recherche qualitative est donc fortement axée sur l’interprétation des résultats, plutôt que sur les déductions. Cela implique que les auteurs doivent organiser et analyser suffisamment les données de l’entretien pour en faire des interprétations logiques, solides et valides.

Hlady Rispal (2002) distingue deux logiques dans la recherche qualitative : déductive et inductive. La logique qualitative déductive vise à approuver ou réfuter un modèle théorique en le confrontant aux données tirées d’un échantillon alors que la logique qualitative inductive vise la construction d’une théorie à partir d’observations et d’études de l’objet de la recherche et des pratiques des acteurs. Nous sommes concernés par cette seconde logique dans le cadre de notre travail de recherche en ce sens que nous partons des observations et de l’étude des pratiques des PME/TPE pour savoir comment elles considèrent les cyber menaces et quelles stratégies elles mettent en œuvre pour y faire face.

Ainsi dans l’analyse des données obtenues à partir des questions d’évaluation de l’entretien, les données ont été divisées en différents sous-titres et les sujets ont été étiquetés en fonction de leurs caractéristiques. Dans la recherche, les principaux thèmes formés à la suite de l’analyse des données étaient l’évaluation des niveaux de connaissances répondants face aux risques cyber.

La stratégie analytique spécifique utilisée pour travailler avec les données a été l’analyse de contenu, à travers laquelle il a été réalisé un processus de synthèse, d’intégration et d’interprétation des contributions de la recherche primaire. Ensuite, l’analyse de tous les données, concepts et métaphores liés à la question de recherche a été entamée. Nous ne cherchons pas dans le cadre de notre recherche à approuver et/ou réfuter un modèle théorique donné. Nous sommes dans une démarche d’interprétation d’une réalité subjective à la lumière de quelques théories que nous avons mobilisées et sur la base de données qualitatives recueillies avec l’aide d’entretiens.

Présentation des résultats

Avant de procéder à l’analyse des résultats obtenus durant les entretiens, il est important de présenter le secteur d’activité de chaque entreprise que nous avons approché.

Tableau 3 : Le secteur d’activité des entreprises concernées par l’étude

Entreprises	Secteur d’activité
Entreprise 1	Commerce
Entreprise 2	Services marchands
Entreprise 3	Transport
Entreprise 4	Industrie
Entreprise 5	Études et conseils
Entreprise 6	Artisanal
Entreprise 7	Services marchands
Entreprise 8	Études et conseils
Entreprise 9	Artisanal
Entreprise 10	Financier
Entreprise 11	Industrie
Entreprise 12	Distribution
Entreprise 13	Financier
Entreprise 14	Construction
Entreprise 15	Services marchands

Comme le montre ce tableau, les entreprises que nous avons approchées dans le cadre de ce travail appartiennent à des secteurs d’activité différents. Cette diversification des secteurs d’activité va nous permettre de reconnaitre les types de secteurs les plus touchés par les cyberattaques.

La plupart œuvrent dans le domaine des services marchands et du commerce. Certaines PME/TPE mènent des activités industrielles et de transports, alors que d’autres se sont implantées dans le secteur tertiaire, notamment en proposant des services financiers ou encore des services d’études et de conseils pour les entreprises.

Afin de mieux analyser les résultats, il nous semble important de structurer les résultats en trois grands thèmes en fonction des questions posées :

Considération des risques cyber par les PME/TPE et attitude face aux cyberattaques

Dans ce premier thème, différentes questions ont été posées aux interviewés pour connaitre la manière dont les PME/TPE considèrent les cyberattaques, à savoir :

Qu’entendez-vous par risque cyber ?
Avez-vous déjà été victime de cyberattaques ?
Vous sentez vous menacer par les cyberattaques ?
Quels peuvent être les origines des menaces ?
Selon vous, quels peuvent être les effets des cyberattaques sur votre entreprise ?

Lorsque nous avons posé la première question, c’est-à-dire « Qu’entendez-vous par risque cyber ? », beaucoup ont répondu que c’est une pratique qui porte atteinte au système informatique pour effectuer des fraudes et des vols d’identité. Les interviewés parlent aussi de contamination via l’installation d’un logiciel frauduleux. Par ailleurs, un interviewé va plus loin en évoquant les possibles conséquences d’un cyberattaque en stipulant que les cyberattaques sont des risques de perte financière, d’interruption des activités ou d’atteinte à la réputation. Toutes les réponses obtenues vont dans le sens ou les cyberattaques sont des pratiques qui portent atteinte à la santé des entreprises et à leur bon fonctionnement.

En tout, nous considérons que les PME/TPE ont une assez bonne connaissance de ce que sont les risques cyber et la cybercriminalité et aussi leurs conséquences.

En effet, si ce terme est bien connu dans le secteur des PME/TPE, c’est notamment en raison du fait que la plupart d’entre elles ont déjà subi des attaques informatiques, en tout cas, c’est le cas de la plus de la moitié des entreprises que nous avons approchées dans le cadre de ce travail.

Lorsque nous avons posé la question suivante : « Avez-vous déjà été victime de cyberattaques ? », la majorité des répondants ont répondu par l’affirmatif.

Selon les entretiens menés, il est constaté que plus de la moitié des PME/TPE de notre échantillon ont déjà été victimes de cyberattaques. Par ailleurs, ce n’est pas le cas pour les 47% restants. Deux d’entre elles ont signalé que l’incident était une attaque de virus. Toutefois, nous constatons qu’en raison du faible nombre de preuves de cybercriminalité, il n’est pas possible de tirer une conclusion sur la vulnérabilité des entreprises en fonction du type d’activité commerciale qu’elles exercent. Ce qui est tout simplement sûr, c’est que certaines entreprises se sentent menacer, même ce n’est pas le cas de la majorité. En effet, les résultats des entretiens montrent que 33% des PME/TPE se sentent menacées par les cyberattaques, ce n’est pas le cas pour les 67% restants. Cette situation, assez contradictoire par rapport aux réponses obtenues à travers la question précédente, peut s’expliquer, d’une part, par un manque de connaissance sur les impacts réels des cyberattaques, et d’autre part, par l’existence d’une stratégie efficace pour faire face aux risques dans ces entreprises. Cela étant, car la majorité des PME/TPE déclare avoir déjà été victime de cyberattaques, pourtant, seul un tiers d’entre elles se sentent menacer.

En outre, bien que les petites et moyennes entreprises constituent une partie importante de l’infrastructure économique et cybernétique des pays, la sécurité de leurs informations, systèmes et réseaux n’est pas leur priorité absolue. Elles ne disposent généralement pas des ressources nécessaires pour investir dans la sécurité de l’information de la même manière que les grandes entreprises, ce qui les rend plus vulnérables aux cybercriminels. En ce sens, les PME/TPE peuvent être affectée par un événement cyber de plusieurs manières :

Perdre de l’argent.
Être poursuivi ou recevoir des réclamations des personnes concernées en raison d’une mauvaise utilisation des informations.
Perdre des informations critiques pour gérer votre entreprise.
Subir une atteinte à la réputation qui affecte la confiance de leurs clients.
Perte de revenus du fait de l’interruption de leur activité.
Recevoir des sanctions des entités de contrôle et de surveillance à la suite de l’utilisation abusive d’informations.

Dans ces contextes, les attaques peuvent émaner de différents comportements des personnes travaillant au sein des PME/TPE ou encore des caractéristiques de l’organisation elles-mêmes. Ainsi, lorsque nous avons interrogé les PME/TPE sur les possibles origines des cyberattaques, nous avons obtenus différents types de réponse. La réponse la plus fréquente que nous avons obtenue concerne le comportement des employés. Par exemple, ignorer les politiques d’information, les directives organisationnelles et les règles de l’entreprise entraîne de nombreuses menaces de cybersécurité. Certains interviewés ont par ailleurs pointé du doigt le manque de connaissance sur les risques comme origine principale des cyberattaques. Les réponses à la question suivante « Quels peuvent être les origines des menaces ? », semblent alors divergées. Cette divergence peut s’expliquer par les caractéristiques de l’organisation elle-même, car d’autres peuvent par exemple avoir une bonne organisation interne, mais avec une faible connaissance des risques cyber et des comportements appropriés pour y remédier. Ou encore, il est possible que les employés développent des comportements appropriés pour se prémunir des cyberattaques, mais que les formations et les éducations sur le sujet ne sont suffisantes pour optimiser l’efficacité de ces comportements.

Face à tout cela, il nous a semblé important d’interrogé les PME/TPE quant aux effets possibles des cyberattaques sur leur organisation et la pérennité de leurs activités : « Selon vous, quels peuvent être les effets des cyberattaques sur votre entreprise ? ». À travers cette question, nous avons remarqué que la majorité des réponses tournent autour de la perte financière. Six des douze répondants ont affirmé que les cyberattaques pourraient entrainer des pertes d’argent. L’atteinte à la réputation ainsi que la perte d’informations importantes ont également été évoqué par beaucoup de répondants. Ainsi, bien que de nombreuses PME/TPE pensent ne pas se sentir menacer par les cyberattaques, beaucoup sont conscientes es pertes encourues.

Face au fait que certaines PME/TPE sous-estiment la question de cyberattaques, il semble intéressant de s’interroger sur les stratégies que cette catégorie d’entreprise met en place pour faire face aux cyberrisques. C’est ce qui va constituer la seconde partie de notre analyse.

Les stratégies mises en place par les PME/TPE pour faire face aux risques cyber

Dans ce second thème, nous avons commencé par interroger les PME/TPE sur les mesures de protection qu’elles mettent en place à travers la question suivante : « Quels types de mesure prenez-vous pour vous protéger des cybers attaques ? ». Avec cette question, la réponse que nous avons obtenue le plus fréquemment est la mise en place de procédures d’authentification et de protection antivirus. Une pratique de protection assez fréquente aussi chez les PME/TPE est la modification fréquente des codes d’accès au réseau.

Les entretiens nous ont permis de constater que seules très peu de PME/TPE accordent une grande importance aux cyberattaques pour se prémunir à travers des contrats d’assurance. Dans le même temps, il n’y a que très peu d’entre elles qui organisent des formations de sensibilisation à la sécurité du personnel et utilisent des systèmes de journalisation et d’alerte.

Pourtant, lorsque nous avons demandé aux PME et TPE si elles sont prêtes à affronter les cybers attaques, certaines ont affirmé que oui.

Malgré les systèmes de défense mis en place par les PME /TPE pour se protéger contre les cyberattaques, beaucoup d’entre elles aussi, 53%, déclarent ne pas encore être prêtes à affronter les cyberattaques. Par ailleurs, ce n’est pas le cas pour les 47% qui se sentent prêtes pour faire face à ce type de menace.

Cette seconde partie du questionnaire nous a permis de constater que malgré les stratégies de défense qu’elles mettent en place, les PME /TPE ne semblent pas encore être en mesure de faire face aux cyberattaques et beaucoup d’entre elles en sont conscientes. C’est notamment ce qui nous a poussés à établir la troisième parie de cette analyse que porte sur les difficultés rencontrées par les PME /TPE pour se protéger efficacement des cyberrisques.

Les défis à surmonter par les PME/TPE en termes de protection contre les cyberattaques

Notre principale question quant aux défis des PME/TPE en termes de protection contre les cyberattaques est la suivante : « Quels sont selon vous les principaux défis des PME /TPE face aux cyberattaques ? »

En posant cette question aux interviewés, nous avons pu constater que c’est le manque de moyen financier qui est la principale difficulté des PME/TPE et les empêche à mettre en place des systèmes de protection à la hauteur des risques encourus. Il y a également leur faible connaissance sur le sujet et le manque d’expériences et de compétences sur la gestion et la protection contre aux risques cyber.

Discussion

Les petites et moyennes entreprises (PME) ont souvent été encouragées à tirer parti de toutes les opportunités possibles offertes par les nouvelles technologies telles que les services de cloud computing pour se prémunir des risques cyber ou encore d’autres techniques à travers des logiciels appropriés. Pourtant, il existe un énorme malentendu sur les cyber risques qu’elles encourent. La sous-estimation des menaces des cyberattaques par les PME entraîne une augmentation de leurs vulnérabilités et de leurs risques, qui peuvent malheureusement devenir de véritables défis pour elles et d’autres parties prenantes.

Avant de procéder à la discussion des résultats que nous avons obtenus à travers les entretiens, il nous semble important de commencer par présenter la synthèse de ces résultats.

Tableau 4 : Synthèse des résultats des entretiens

À travers cette synthèse, notre discussion va porter sur trois points essentiels, la prise en compte des risques cyber par les PME/TPE, l’efficacité des stratégies qu’elles mettent en place et les facteurs qui les empêchent à se protéger convenablement contre les cyberattaques.

PME/TPE, des entreprises conscientes des risques, mais qui sous-estiment leurs impacts

Selon la littérature, le développement rapide des technologies de l’information et de la communication qui s’est produit au cours des dernières décennies a multiplié les alternatives d’interaction et de connexion entre les personnes et leur environnement, massifiant l’utilisation d’appareils permettant d’envoyer et de recevoir des informations de manière immédiate et en temps réel. Cependant, l’activité sur le réseau comporte des risques, tels que celui de la cybernétique, qui augmentent à mesure que de nouvelles manières de violer l’information sont découvertes. Toutes les entreprises sont actuellement au courant de ces risques, y compris les PME/TPE et cela a été prouvé par les entretiens que nous avons menés.

Toutefois, même si les entreprises en sont conscientes, certaines d’entre elles, plus particulièrement les PME/TPE, ont tendance à sous-estimés leur occurrence et leurs conséquences.

Parmi les sources de vulnérabilité, De Werra et Benhamou (2020) évoquent le comportement des employés dans les PME/TPE. Les entretiens que nous avons menés confirment aussi cela. Par exemple, le fait d’ignorer les politiques d’information, les directives organisationnelles et les règles de l’entreprise entraîne de nombreuses menaces de cybersécurité. Également, la formation et l’éducation sont importantes pour améliorer les connaissances, alors que dans certains cas, même les connaissances ne peuvent garantir le bon comportement. De plus, le manque de formation et de sensibilisation a aussi été cité comme source de vulnérabilité des PME/TPE vis-à-vis des cyberattaques. Selon De Werra et Benhamou (2020) p.10 il existe une relation significative entre le comportement et l’attitude des utilisateurs et la sensibilisation à la cybersécurité, alors que les connaissances des PME/TPE ne montrent aucune relation significative avec la sensibilisation à la cybersécurité. Selon la littérature, le manque de sensibilisation peut être lié à un manque de connaissance des types de cyberattaques. La création du meilleur programme de sensibilisation possible pourrait aider à réduire les risques potentiels à des niveaux acceptables.

Décrire les menaces de cybersécurité dans les PME/TPE pourrait être une solution clé pour aider cette catégorie d’entreprise à comprendre le concept principal de la cybersécurité qui peut avoir des impacts négatifs sur leurs activités. Pourtant, de nombreux signes indiquent que les PME/TPE sous-estiment les cybermenaces en n’utilisant pas de mesures de sécurité efficaces.

La plupart des experts ont admis que la cybercriminalité serait la plus grande menace pour toute entreprise, tandis que beaucoup PME/TPE estiment qu’elles ne sont pas vulnérables en raison de leur taille. C’est notamment pour cette raison que la plupart d’entre elles ne se sentent pas menacées par les cyberattaques.

Par ailleurs, bien que certaines PME/TPE puissent reconnaître la possibilité de cyberattaques, elles pourraient toujours en être victimes en raison d’un manque de compétences et d’un manque de ressources. En tout, cas c’est qui a été constaté non seulement dans la revue de littérature, mais également à travers les entretiens menés.

Les stratégies mises en place par les PME/TPE pour faire face aux risques cyber

Selon notre cadre théorique, les antivirus/malwares sont le type de technologies de sécurité informatique le plus connu par cette catégorie d’entreprise. L’utilisation de sessions de connexion cryptées et la conservation de supports de sauvegarde sont également des indications de bonnes pratiques informatiques dans les PME/TPE. Néanmoins, l’utilisation de logiciels juridiques était faible. L’une des bonnes pratiques de la technologie de sécurité informatique consiste à utiliser des systèmes d’exploitation et des logiciels open source. Cependant, les logiciels open source ne sont pas courants parmi les petites entreprises, car l’utilisateur sans formation technique peut avoir du mal à les utiliser. Ainsi, les PME/TPE accusent un retard dans l’adoption des technologies de sécurité informatique.

Les résultats des entretiens ont pu mettre en évidence les pratiques des PME/TPE en termes de cybersécurité ainsi que les stratégies qu’elles mettent en place pour se protéger. En comparant les résultats avec le cadre théorique, certaines tendances peuvent être mises en évidence. Selon Hazane (2016) on assiste à une augmentation des cyberattaques dirigées contre les PME qui devient souvent problématique puisque ces entreprises, dans de nombreux cas, ont des stratégies de défense insuffisantes. En effet, il a été constaté, suite aux entretiens effectués, que la protection contre les risques cyber se fait, pour la plupart des cas, par la mise en place de procédure d’authentification et de protection antivirus. Pour certaines d’entre elles, elles se protègent à travers certaines actions et procédés comme la modification régulière des codes d’accès au réseau ou encore par la souscription d’assurance. Cela signifie que non seulement les PME/TPE ignorent qu’elles courent des risques, mais qu’elles ne font rien pour se protéger. Bien qu’un manque de connaissances soit un facteur explicatif, le manque d’organisation et de capacité en gestion des risques contribue également à cette vulnérabilité.

Pourtant le cadre théorique nous montre que la cybersécurité d’une entreprise passe premièrement par une analyse des risques auxquels elle est exposée et la mise en place d’une politique de gestion des risques. L’objectif étant de permettre de transférer le risque auquel l’entreprise est exposée à la personne ou entité concernée par sa gestion. Le processus doit être effectué par une personne de l’entreprise, qui sera en charge de l’application et du suivi de la politique de gestion du risque cyber, toujours avec l’approbation de la direction générale.

Il est tout de même important de noter qu’en raison de leurs caractéristiques et surtout leur manque de moyens, les PME/TPE peuvent ne pas avoir nécessairement les capacités suffisantes pour se protéger contre les cyberattaques.

Pour cette raison, nous recommandons que, pour prévenir l’impact des cyberrisques sur les PME, il soit essentiel d’avoir une structure efficace de gestion des cyberrisques qui soit revue chaque année, car les menaces évoluent constamment.

Les défis à surmonter par les PME/TPE en termes de protection contre les cyberattaques

Face aux risques cyber, les entreprises font face à des pertes financières importantes qui peuvent mettre en péril la continuité d’activité dans les cas les plus extrêmes ou, de manière plus “légère”, l’interruption des opérations. C’est là que se situe le plus grand problème des PME et TPE dans le cadre des cyberattaques comme le souligne Hazane (2016). En effet, ces entreprises ne disposent pas nécessairement des moyens financiers adéquats pour surmonter ces types d’attaques. Cela est évoqué non seulement dans la littérature, mais également à travers les entretiens que nous avons menés dans le cadre de ce travail.

En effet, nos résultats identifient que les défis auxquels sont confrontées les PME/TPE face aux cyberattaques sont nombreux et de natures différentes. Le problème sous-jacent commun à tous semble être la sensibilisation et l’engagement de la direction, qui à leur tour déterminent le budget, l’allocation des ressources et la mise en œuvre efficace des pratiques de cybersécurité.

De plus, la littérature nous montre que les PME/TPE sont les entreprises les plus exposées à ce type d’incident, car, en général, elles n’ont généralement pas de plan de cybersécurité spécifique pour pallier ces failles dans le système. Toute faille de sécurité, aussi minime soit-elle, sera traquée par des pirates avec un seul objectif : s’emparer des données de l’entreprise afin que la rançon soit payée.

Dans ce scénario, nous recommandons que la meilleure façon de prévenir l’impact des cyberrisques pour les PME soit d’avoir un plan de prévention. Dans ce contexte, la politique de protection de l’entreprise doit reposer sur trois piliers fondamentaux : les facteurs humains et organisationnels, les outils de protection et la capacité de récupération.

Recommandations

Bien que nous entendions parler de transformation numérique depuis plusieurs années, il reste encore beaucoup à faire dans ce domaine. Les progrès récents et continus de l’informatique (ou des technologies de l’information) sont devenus les protagonistes du processus de développement socio-économique dans lequel nous sommes plongés. Alors que certaines entreprises ont déjà commencé à savourer les grandes opportunités de croissance que la transformation numérique et l’informatique leur ont offertes, beaucoup d’autres n’ont même pas envisagé la nécessité de la rejoindre, notamment les PME/TPE. Face à cette situation, les défis auxquels l’informatique doit faire face sont nombreux.

La sécurité cherche toujours la gestion du risque, cela signifie qu’il y a toujours un moyen de l’éviter ou de le prévenir et que certaines actions peuvent être menées pour éviter au mieux ces situations.

De plus, il existe d’innombrables options de cybersécurité disponibles sur le marché. Par exemple, il est possible d’éviter certains types de cyberrisques en installant un logiciel antivirus, en identifiant les cyberviolations potentielles en engageant des consultants en cybersécurité ou en transférant les cyberrisques en souscrivant une cyber-assurance. Toutefois, il est écrasant pour les PME de choisir une méthode qui fonctionne, car elles ne sont pas familières avec le marché de la cybersécurité. Sans conseils appropriés en matière de cybersécurité, la sélection d’une solution de cybersécurité fiable sera difficile et prendra du temps, devenant ainsi un autre défi pour ces catégories d’entreprises considérées comme assez vulnérables. Étant donné que connaître l’importance et la complexité de la protection contre une cyberattaque peut dépasser les capacités des PME/TPE, il faut trouver des stratégies adaptées.

Dans ce contexte, les capacités de cybersécurité doivent faire plus que répondre aux cybermenaces qui existent actuellement. Alors que les technologies exponentielles entraînent des perturbations numériques, elles introduisent des types de cybermenaces entièrement nouveaux et amplifient les menaces existantes, nécessitant des capacités supplémentaires que les entreprises doivent commencer à développer dès maintenant.

Ainsi, les PME/TPE doivent savoir que le cyberrisque n’est pas une question de technologies de l’information (TI), c’est une question d’affaires et un impératif stratégique. Les responsables des risques, de la sécurité et des affaires doivent constamment s’efforcer de comprendre les opportunités et les risques associés à l’innovation numérique, puis de trouver un équilibre entre la nécessité de protéger l’organisation contre les cybermenaces et la nécessité d’adopter de nouveaux modèles commerciaux et de nouvelles stratégies qui capitalisent sur la technologie et jettent les bases de la réussite future.

Pour cela, quelques pistes d’actions sont présentées dans ce chapitre pour optimiser et renforcer les stratégies de défense des PME/TPE contre les cyber attaques.

Prise de décision en matière de cybersécurité

En ce qui concerne la prise de décision dans la gestion des risques liés à l’information, les propriétaires et les gestionnaires jouent un rôle majeur, ce qui montre à quel point le niveau managérial est important pour les menaces de cybersécurité. Selon De Werra et Benhamou (2020) p.11). les hauts dirigeants des PME/TPE doivent être directement impliqués dans les décisions de mise en œuvre de la cybersécurité. Ainsi, les cadres dirigeants doivent régulièrement faire appel à des experts pour prendre des décisions afin de créer une culture de meilleure prise de conscience. Dans le monde des affaires actuel qui repose sur les données et Internet, toute décision qui pourrait être prise par les PME/TPE pour leur cybersécurité peut affecter non seulement leur organisation, mais également l’ensemble de l’industrie. Une telle décision de sécurité qui serait prise par en toutes circonstances pourrait avoir un impact considérable sur leurs mesures éventuelles et sur la sécurité de la chaîne d’approvisionnement dans son ensemble.

Dans ce contexte, la route à suivre ne sera probablement pas facile. Les entreprises, notamment les PME, sont confrontées à de nombreux défis lorsqu’elles tentent de gérer les problèmes complexes du cyberrisque. Ainsi, nous avons identifié les six thèmes suivants que les entreprises devraient considérer :

Engagement au niveau de la direction : pour de nombreuses organisations, la responsabilité de prévenir, de gérer et de récupérer des cyberincidents a tendance à être très fragmentée. Les entreprises devraient envisager de mieux comprendre le paysage des cyberrisques afin d’établir une structure plus efficace pour maîtriser ce problème critique dans l’ensemble de leurs organisations. Dans ce contexte, Ben Jabeur et Serret (2019) souligne également l’importance de l’engagement des conseils d’administration pour se protéger des menaces pesant sur les systèmes d’information. Il existe également une opportunité importante de trouver un équilibre plus efficace entre investir dans les bonnes technologies de pointe tout en s’assurant que, ce faisant, elles ne s’exposent pas à un cyberrisque accru ;
Optimisation de la confiance des clients : les entreprises d’aujourd’hui font face à une situation assez délicate en ce qui concerne les réactions potentielles des consommateurs à la suite de cyberviolations. Dans ce contexte, elles doivent non seulement tenir compte de la façon dont les perceptions d’incertitude quant à la confidentialité des informations personnelles peuvent avoir un impact sur les futures décisions d’achat, mais également assurer à leurs clients qu’elles prennent les mesures appropriées pour atténuer le cyberrisque ;
Gérer letalent et capital humain : la capacité d’une organisation à gérer efficacement et efficacement le cyberrisque doit faire partie de sa culture. Le talent peut être le maillon le plus faible du paysage cybernétique. Afin d’atténuer ce risque, il est impératif d’attirer, de former et de retenir les meilleurs cyber talents tout en mettant en œuvre des programmes éducatifs pour tous les employés sur le rôle qu’ils jouent afin de minimiser les risques dans un paysage numérique en évolution.

Par ailleurs, d’autres pistes d’action sont également proposées aux PME/TPE afin de favoriser leur résistance aux cyberattaques.

Renforcement de la résilience

Au-delà de la simple dépendance à la technologie de l’information et de la communication, les tendances mondiales actuelles exercent une pression unique sur l’ensemble de la cyber-résilience. La course aux armements entre l’industrie de la sécurité et les cybercriminels continue de s’intensifier, mais les entreprises d’aujourd’hui ont plus que jamais à perdre de la perte de données. Dans ce contexte, la cyber-résilience se montre plus que jamais primordiale.

Pour faire face à la variété d’incidents qui pourraient leur arriver, les PME/TPE doivent être cyber-résilientes, c’est-à-dire être capables d’anticiper, de détecter, de résister, de récupérer et d’évoluer face aux cyber-incidents. Ce concept de cyber-résilience est plus large que le concept traditionnel de cybersécurité, qui se concentrait principalement sur la protection des systèmes contre les attaques malveillantes. Essentiellement, la différence entre la cybersécurité et la cyber-résilience peut se résumer en ce que la cybersécurité vise à rendre les systèmes infaillibles tandis que la cyber-résilience vise à rendre les systèmes sûrs en cas de défaillance.

Cependant, le changement apparemment léger de perspective de la cybersécurité à la cyber-résilience entraîne plusieurs conséquences pour les entreprises qui tentent de l’opérationnaliser. Des recherches récentes ont défini les dimensions et les actions qui doivent être comprises et mises en œuvre pour qu’une PME/TPE soit cyber-résiliente. Ces dimensions et politiques incluent les solutions techniques, mais aussi la gouvernance, la gestion des risques, la formation et la sensibilisation du personnel, etc.

Pour mettre en œuvre cette combinaison complexe de politiques, il faut généralement une direction très expérimentée pour prendre des décisions, hiérarchiser et mettre en œuvre les politiques de manière efficace.

La cyber-résilience fonctionne en fournissant une défense en profondeur. Il n’y a pas de solution miracle pour faire face aux menaces en constante évolution ou pour assurer une continuité d’activité transparente face à des circonstances imprévues. Les stratégies de défense en profondeur résolvent le problème d’un nombre apparemment illimité de vecteurs d’attaque et de scénarios de perte de données.

Au lieu de cela, la défense en profondeur s’appuie sur plusieurs technologies pour sécuriser les utilisateurs, les réseaux et les appareils, et être en mesure de récupérer des données compromises à tout moment. La cyber-résilience peut les PME et les TPE à :

Bloquer les menaces avant qu’elles ne puissent s’infiltrer dans vole réseau et avoir ainsi une ligne de défense essentielle ;
Protéger les terminaux contre les menaces pour garantir la productivité des utilisateurs et la sécurité des données ;
La récupérer avec un temps d’arrêt minimal et sans perte de données importantes pour permettre aux activités de continuer comme d’habitude.

Par conséquent, une sensibilisation accrue à la cybersécurité au niveau de la direction des PME pourrait améliorer d’autres facteurs majeurs tels que les comportements et la prise de décision. Par exemple, une sensibilisation accrue des décideurs pourrait conduire à accorder plus d’attention aux investissements des PME dans la cybersécurité. En revanche, les pratiques de cybersécurité sont un élément clé qui pourrait fournir une solution parfaite pour les PME. Également, la compréhension de la manière d’appliquer le RGPD par les PME pourrait aider à résoudre plusieurs problèmes qui se reflètent sur la protection de nombreux autres domaines de données.

Mettre en place des systèmes de sécurité

En raison de leur vulnérabilité quant aux risques cyber, les PME et TPE doivent mettre en place des systèmes de sécurité efficace.

Dans ce contexte, il faut souligner que toute politique de prévention exige que les gens sachent quelle attitude face aux risques cyber :

Le personnel de l’entreprise doit être sensibilisé à l’application des normes et des bonnes pratiques.
Les sous-traitants et prestataires de services doivent être sensibilisés et formés.

De plus, la protection de l’entreprise dépend de facteurs organisationnels qui doivent impérativement être pris en compte :

La sécurité des accès physiques et à distance : la gestion des droits d’accès, tant physiques qu’informatiques, doit être adaptée à la situation des PME et TPE et à leurs caractéristiques ainsi qu’aux fonctions des collaborateurs concernés. Dans ce contexte, il est utile de définir un niveau minimum de sécurité, comme des mots de passe à huit caractères qui combinent majuscules, minuscules, chiffres et symboles ;
Sensibilisation adéquate du personnel et des partenaires et collaborateurs : tous les employés doivent être sensibilisés à l’importance des risques cyber. Cette politique doit également être partagée avec l’ensemble des partenaires, fournisseurs et prestataire ;
Mise à jour des programmes et applications d’exploitation, de gestion, de process et de production : les bogues de programme sont des passerelles pour les intrusions malveillantes. Ces défauts doivent être corrigés au fur et à mesure qu’ils sont identifiés.

Dans ce contexte, les processus de gestion des risques de sécurité de l’information doivent être menés à la suite de modifications apportées aux éléments d’un système d’information. De Werra et Benhamou (2020) ont constaté que seulement une minorité des PME suivent cette méthodologie, ce qui est logique, car la majorité ne prennent en compte les recommandations de la norme ISO/IEC 27005. Par exemple parmi les entreprises interrogées, la plupart des PME n’ont même pas pris en compte les facteurs humains dans leur approche de gestion des risques. Pourtant, ce que les employés d’une organisation savent des techniques d’attaque potentielles et des réponses appropriées affecte grandement le succès des mesures de sécurité mises en œuvre.

Les avantages potentiels

La gestion des risques a, selon une étude menée par Souvira et Quéméner (2012), un impact positif sur la performance des PME. Les auteurs précisent qu’une mise en place d’une stratégie de gestion des risques améliore l’entreprise en termes de performace, de statut juridique, de capital et de taille. De plus, les auteurs affirment qu’avec la gestion des risques, les PME sont généralement mieux préparées à gérer les risques liés à l’augmentation des coûts de main-d’œuvre, à divers types de cyber-risques et à augmenter la probabilité d’atteindre des objectifs commerciaux définis. Un système de gestion des risques complet peut réduire la volatilité des bénéfices, améliorer la réputation, favoriser les économies de coûts et préparer l’organisation à faire face efficacement à tout type de risque, ce qui peut entraîner un succès à long terme. D’autre part, une PME sans système de gestion des risques augmente la probabilité d’échec de et peut par la suite s’appuyer sur des pratiques commerciales contraires à l’éthique.

Avoir les capacités de cybersécurité

Pour se protéger des cybermenaces émergentes, une organisation doit également s’assurer qu’elle a mis en place des capacités de cybersécurité de base qui peuvent la protéger contre les menaces d’aujourd’hui, tout en investissant dans des capacités de niveau supérieur qui peuvent la protéger contre toute menace qui pourrait survenir à l’avenir. Ces fonctionnalités actuelles et de niveau supérieur se répartissent en trois grandes catégories (Deloitte (2022) :

Sécurisé : de véritables défenses contre les attaques, y compris tous les niveaux de l’organisation, des cyber-stratégies aux politiques et procédures en passant par les systèmes et les contrôles ;
Vigilant : des systèmes d’alerte précoce, qui permettent d’identifier les menaces potentielles avant qu’elles ne frappent et de détecter rapidement les attaques et les failles de sécurité dès qu’elles se produisent ;
Résilient : sa capacité à réagir aux attaques et à se rétablir rapidement avec un impact minimal sur l’organisation, sa réputation et sa marque.

La cyber assurance : une nécessité ?

Il constaté que le risque cyber est une préoccupation réelle et croissante pour les PME qui est largement sous-estimée par les propriétaires de PME. Cela se reflète dans le fait que le cyber-risque est rarement une composante de la gestion stratégique des risques pour les PME et que la cyber-assurance est largement sous-utilisée. Le coût de la protection contre le cyber-risque en améliorant l’efficacité opérationnelle et en souscrivant une cyber-assurance représente une petite fraction du coût potentiel résultant d’une cyber-violation. Les compagnies d’assurance qui proposent une cyber-assurance doivent s’assurer que la couverture est à la fois abordable et complète, et adaptée aux besoins individuels.

Pour avoir une idée de l’impact des risques cyber sur les PME, il existe actuellement des polices d’assurance qui incluent ce type de couverture. De plus en plus d’entreprises multinationales et de PME contractent des assurances cyber risques avec l’idée d’améliorer la gestion des risques dans le domaine de la sécurité informatique. L’objectif de ces polices est de fournir une couverture aux entreprises en transférant le risque aux assureurs.

En ce sens, l’assurance cyber-risque offre une possibilité de plus à l’entreprise lorsqu’il s’agit de protéger ses actifs numériques. Certaines couvertures courantes incluent : les dommages propres (perte ou vol de données, déni de service), la responsabilité civile, l’assistance technique (prévention, effacement d’empreintes digitales) et le service après-accident.

C’est pourquoi il est recommandé aux PME de souscrire une assurance contre les risques cyber, comprenant également un plan général de cybersécurité.

Le cyber-risque pour les PME est relativement nouveau et le marché de l’assurance contre les cyber-risques pour les PME n’est pas bien développé. Par conséquent, il est important de développer un processus complet de suivi et de surveillance du coût du risque cyber avec les données fournies par les compagnies d’assurance. Cela permettra d’analyser le coût du cyber-risque selon divers secteurs d’activité, leur taille et d’autres facteurs critiques.

Conclusion

Avant de conclure, il est important de préciser que l’objet de cette étude est d’analyser la vulnérabilité des PME/TPE en termes de cyberattaques en répondant à la problématique suivante : « Comment la fonction risque s’organise et se déploie-t-elle dans les PME/TPE pour améliorer la cybersécurité ? ». Pour répondre à cette problématique, une étude qualitative a été menée à travers des entretiens auprès d’un échantillon de PME/TPE.

Une préoccupation constante dans la littérature a été le manque de sérieux dans les manières habituelles des PME/TPE de faire face aux menaces de cybersécurité. Une autre question soulevée est que les PME sous-estiment généralement les cybermenaces, ce qui se traduit par le manque de mesures de sécurité mises en place. Pourtant, il peut y avoir une idée fausse selon laquelle les PME sont moins vulnérables aux cybermenaces en raison de leur taille. En outre, il est important de souligner que des rapports récents montrent que les PME sont devenues le type de cible le plus précieux pour les cyberattaques. Par rapport aux grandes entreprises, elles manquent de mesures de sécurité efficaces, ont moins d’expertise et utilisent généralement des méthodes de sécurité plus anciennes.

Par exemple, elles ne semblent pas se préoccuper de la pression normative de la communauté de la cybersécurité, comme à travers les pratiques professionnelles. Par conséquent, les personnes autorisées participent généralement inconsciemment à des pratiques à risque qui pourraient affecter la sécurité, la confidentialité des données et les mesures techniques préventives. Tout cela s’accompagne d’un manque d’engagement de ces types d’entreprises vis-à-vis des stratégies de protection. La principale raison dans la plupart des cas est la faiblesse des techniques de défense utilisées par les PME par rapport aux grandes entreprises, impliquant moins d’expertise, une sous-traitance inconnue et des méthodes de sécurité anciennes.

En outre, l’externalisation d’installations telles que le cloud serait une solution clé pour les PME/TPE ; cependant, les avantages de l’externalisation risquent de ne pas répondre au besoin de bonnes pratiques, en tout cas, aucune des PME/TPE étudiées n’y procède pour le moment. Également, il a été avancé que davantage d’activités de formation et de sensibilisation augmenteraient les connaissances, mais cela ne se refléterait pas non plus dans les bonnes pratiques de cybersécurité des PME/TPE (D’Elia, D. (2015). Par ailleurs, l’estimation du coût de la cybercriminalité est considérée comme un véritable défi pour les PME/TPE.

Bien que certaines PME puissent reconnaître la possibilité de cyberattaques, elles peuvent être victimes de ces événements en raison d’un manque de compétences, d’un manque de ressources et d’un manque de persévérance.

Quel que soit le type de difficultés rencontrées par les PME/TPE, il est important de noter que toute entreprise, quelle que soit sa taille et l’activité qu’elle exerce, peut prendre des mesures pour se protéger des problématiques cyber et ainsi préserver sa compétitivité et sa survie.

Une étude récente menée par De Werra et Benhamou révèle que les PME/TPE ont davantage besoin d’informations supplémentaires sur les risques cyber et pour pouvoir développer le contenu de leurs programmes de sensibilisation. La création du meilleur programme de sensibilisation possible pourrait aider à réduire les risques potentiels à des niveaux acceptables tout en faisant face au manque de moyens dont souffrent ces entreprises.

Par ailleurs, il nous semble important de noter que cette étude n’a pas pu collecter beaucoup de données sur les incidents de cybercriminalité en raison du nombre inférieur de répondants. C’est donc l’une de sa plus grande limite, mais cela pourrait aussi faire l’objet d’une étude future, afin d’établir des stratégies adaptées à chaque type d’incidents.

Références bibliographiques

ANSSI. (s.d.) Principales menaces. ANSSI. Consulté le 20 mai 2022, sur https://www.ssi.gouv.fr/entreprise/principales-menaces/

Bannelier, K. et Christakis, T. (2017). « Cyberattaque Prévention-Réaction : rôle des États et des acteurs privés », Les Cahiers de la Revue Défense Nationale, Paris, 30-50

Ben Jabeur, S. & Serret, V. (2019). Principes et enjeux de la responsabilité des conseils d’administration face au risque cybernétique. Question(s) de management, 26, 67-76. https://doi.org/10.3917/qdm.194.0067

Boos R. (2019). La lutte contre la cybercriminalité au regard de l’action des états. Université de Lorraine

Bpifrance (2017). Guide cybersécurité à destination des dirigeants de TPE, PME ET ETI.

CLUSIB, (2006). Risques informatiques : Maîtriser ou périr, p.6-7

Corbin J et Strauss A. (2007). Basics of qualitative research. Third edition. Los Angeles : Sage Publications. 1-312.

Coutant, A. (2022). Les approches sociotechniques dans la sociologie des usages en SIC. Revue française des sciences de l’information et de la communication [En ligne], mis en ligne le 23 janvier 2015, consulté le 20 juillet 2022 URL : http://journals.openedition.org/rfsic/1271 ; DOI : https://doi.org/10.4000/rfsic.1271

Dejean, P. & Sartre, P. (2015). La cyber-vulnérabilité. Études, -, 21-31. https://doi.org/10.3917/etu.4218.0021

DElia, D. (2014). La guerre économique à l’ère du cyberespace, Hérodote, n° 152-153, p. 240-260

Deloitte (2022). Cinq étapes essentielles pour améliorer la cybersécurité.

De la S., Juan M. (2020). Introduction au Cyber-Harcèlement.

De Werra, J., Benhamou, Y. (2020). Cyberassurance : instrument utile pour la cybersécurité des entreprises ? Analyse juridique et recommandations des mesures étatiques concernant les cyberassurances visant à protéger les entreprises (PME). In: Jusletter, 2020, n° 24 août.

Drapeau M. (2004). Les critères de scientificité en recherche qualitative. Pratiques psychologiques. 10:79-86

Dreyer, E. (2019). Vol de données légitime ou tentative d’extorsion ?

Dumez, H. (2013). Qu’est-ce que la recherche qualitative ? Problèmes épistémologiques, méthodologiques et de théorisation. Annales des Mines – Gérer et comprendre, 112, 29-42. https://doi.org/10.3917/geco.112.0029

Dupont B., Gautrais V., (2010). Crime 2.0 : le web dans tous ses états, Champ Pénal : Nouvelle revue internationale de criminologie, vol VII. DOI :10.4000/champpenal.7782

Dupont, B. (2010). La coévolution du « vol d’identité » et des systèmes de paiement. Criminologie. 43. 247. 10.7202/1001777ar.

Eddé, R. (2020). Les entreprises à l’épreuve des cyberattaques. Flux, 121, 90-101. https://doi.org/10.3917/flux1.121.0090

Hazane, E. (2016). (In)sécurité numérique et PME : transformer les défis en atouts. Sécurité et stratégie, 22, 14-19.https://doi.org/10.3917/sestr.022.0014

Hlady Rispal, M., (2002). La méthode des cas: Application à la recherche en gestion, de boeck.

IFACI 2.0, (2020). Les questions de l’auditeur et du contrôleur interne.

IFC. (2015). Services financiers numériques et gestion des risques. ISBN : 978-0-620-71506-5

Islam, S., Farah, N., Stafford, T. (2018). Factors associated with security/cybersecurity audit by Internal audit function, Managerial Auditing journal.

Kello, L. (2014). Les cyberarmes : dilemmes et futurs possibles. Politique étrangère, 139-150. https://doi.org/10.3917/pe.144.0139

Kempf O., (2015). Dimension informationnelle de la cyberstratégie, in : Harbulot C. (sous la direction de), Manuel d’intelligence économique, Paris : Presses universitaires de France, p. 153-164

KPMG. (2021). Le défi du risque cyber : vues croisées d’auditeurs internes et responsables cybersécurité – enquête menée auprès de responsables cybersécurité et auditeurs internes en février 2020, complétée par des questions liées à la Covid-19 en juin 2020.

KPMG, (2017). Point de vue de l’audit : La cybersécurité, une question cruciale à l’ordre du jour des comités d’audit.

Kremer, S et al. (2019). Cybersécurité. Inria, pp.18, 2019, Inria white book. ⟨hal-02414281⟩

Lagare,S. (2021). PME. Études des cyberattaques de type ransomware et proposition de solutions adaptées aux particuliers et PME, p.1

Lehu, J. (2018). Cyberattaque : la gestion du risque est-elle encore possible : Analyse et enseignements du cas Sony Pictures. La Revue des Sciences de Gestion, 291-292, 41-50. https://doi.org/10.3917/rsg.291.0041

Lewis, J. (2014). Étude préliminaire sur les analyses en cybersécurité : l’affaire Snowden comme étude de cas. Hérodote, 152-153, 26-34. https://doi.org/10.3917/her.152.0026

Meurant, S., & Cardon, R. (2021). La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cyber virus ?

Meziat, C. et Guille, L. (2019). Intelligence artificielle et cybersécurité, Protéger dès maintenant le monde de demain

Moshaigeh, A. (2019) et al. Cybersecurity risks and controls. CPA Journal. Vol. 89 Issue 6

Pope C, Mays N. (2006). Qualitative research in health care. Third edition. Oxford : Blackwell Publishing 1-150.

Poinsot L. (2018). Chap. I : Introduction à la sécurité informatique. UMR 7030 – Université Paris 13 – Institut Galilée. p.206

Poupard, G. (2018). Le modèle français de cybersécurité et de cyberdéfense. Revue internationale et stratégique, 110, 101-108. https://doi.org/10.3917/ris.110.0101

Raphael G.Y. (2018). Support de cours de sécurité informatique et crypto.Master. Congo-Kinshasa. ffcel-01965300

Revue de la Gendarmerie Nationale (2019). La sécurité économique des TPE et des PME dans un environnement numérique. Numéro 264

Senat (2022). La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cyber virus ? Rapport d’information n° 678 (2020-2021)

Souvira, A. & Quéméner, M. (2012). Cyber-sécurité et entreprises : se protéger juridiquement et se former. Sécurité et stratégie, 11, 86-94. https://doi.org/10.3917/sestr.011.0086

Swiss VR (2020). Conseils aux CA des PME: cyber-résilience.

Teboul, B. (2022). Le tournant cognitif de la cybersécurité : changement de paradigme et prolégomènes à la cybersécurité cognitive.. The European Scientist, 2022. ffhal-03639141f

Thierry B., Schafer V., (2019), Les réseaux en péril : destructions, subversions et sabotages (XIXe-XXIe siècles), Flux, 2019/4 (N° 118), p. 7-10. DOI : 10.3917/flux1.118.0007

Ventre, D. (2016). De l’utilité des indices de cybersécurité. Sécurité et stratégie, 22, 5-11. https://doi.org/10.3917/sestr.022.0005

Ventre, D, Loiseau, H. et Aden, H. (2021). La cybersécurité en sciences humaines et sociales – méthodologies de recherche.

Wacheux, F., 1996. Méthodes Qualitatives et Recherche en Gestion, Paris: Economica

Weber, C. & , J. (2017). La place de l’homme dans les enjeux de cybersécurité. Stratégique, 117, 83-98. https://doi.org/10.3917/strat.117.0083

1 https://www.institutlouisbachelier.org/laugmentation-des-cyberattaques-represente-une-menace-systemique/

2 : Cyberattaque : le top de 2021, récupéré sur https://2si.fr/actualites/cyberattaque-le-top-de-2021/ , le 18 avril 2022

besoin d’aide pour votre mémoire ? Contactez-nous!

rédacteur spécialisé

0 %

Plagiat

1 %

confidentiel

frais cachés

0 %

paiement sécurisé

Exemple de mémoire d’Informatique

Introduction

Partie 1 :

Le cyber risque et ses impacts sur les entreprises notamment les PME/TPE

Partie 2 : Analyse des cybermenaces et de la cybersécurité dans les PME/TPE

Conclusion

Références bibliographiques

besoin d’aide pour votre mémoire ? Contactez-nous!

Tel:

Email:

Plan de site

Réseaux sociaux