Les cybercriminels font feu de tout bois et ne cantonnent pas leurs attaques aux grandes entreprises. Les PME en font aussi les frais alors qu’elles disposent de moyens et ressources moindres pour se protéger. Elles pensent à tort ne pas être visées, pourtant leurs modes de fonctionnement, moins formels que ceux des grandes structures, les exposent davantage, pointe le baromètre Ozon 2021. Le web et l’email constituent les principaux vecteurs d’attaque pour les pirater, dans 65% des cas, rapporte l’étude, menée sur près de 23 000 PME et collectivités territoriales, en janvier et février 2021, en partenariat avec Wallix, Docaposte Arkhineo, Visiativ, Swiss Re Corporate Solutions et Croissanceplus. Et le déploiement du télétravail, qui s’est fait parfois de façon anarchique, a augmenté les risques d’intrusion, rappelle le document.

Le baromètre fait apparaître un fort défaut de protection web avec 95% des sites internet non protégés contre les cyberattaques applicatives de type XSS, par injection SQL ou d’autre failles connues (référencées CVE). En valeur médiane, chaque site web comporte 63 failles critiques. Concernant les protocoles de sécurité mis en oeuvre, il s’avère que 74% des composants SSL/TLS utilisent d’anciennes versions présentant des failles. L’enquête montre aussi qu’à effectif équivalent, les organisations du secteur public sont vulnérables à 80% contre 70% pour les PME du secteur privé. Sur la messagerie, la presque totalité des entreprises (96%) n’a pas installé de service de filtrage de sécurité pour les emails, ce qui permettrait pourtant de repérer et de bloquer les messages contenant des malwares ou de type phishing ou spear-phishing. Enfin, les sites de e-commerce manquent également de protection. Sur les 1 508 sites pour lesquels un CMS de eCommerce a été détecté, 79% n’avaient pas de pare-feu pour protéger le serveur d’application web (WAF, web application firewall).

Coût moyen d'une cyberattaque en PME : 160 000 euros

Ce manque de protection généralisé expose donc les PME à des risques d’attaques massives via le web ou l’email, tant intrusions et vols de données, que propagation de malwares et ransomwares, vols d’identifiants et mots de passe par phishing ou fraude au transfert de fonds plus élaborée via le spear phishing. Et l’impact financier qui en résulte peut être élevé, l’arrêt porté à l’activité affectant le chiffre d’affaires et la réputation de la société, entraînant une désaffection des clients, sans oublier les possibles sanctions de la Cnil pour manquement aux obligations de protection des données personnelles. Le coût moyen d’une cyberattaque en PME est évalué à 160 000 euros par Ozon et Swiss Re CorSo. Pire, pour Régis Rocroy, fondateur d’Ozon, « le très haut niveau de vulnérabilité constaté, accentué par des défauts de protection majeurs, rend crédible le scénario, connu de l’Anssi, l’Agence nationale de la sécurité des systèmes d’information, de paralysie de l’activité économique de la France par une cyberattaque ciblant simultanément 25 000 PME et organisations », met en garde le dirigeant dans un communiqué. Sa société conçoit depuis 2014 des solutions de protection et d'identification des vulnérabilités pour les PME et le marché InsurTech cyber. 

Le détail des déploiements réalisés par les PME analysées dans le baromètre Ozon 2021 montre que de très nombreuses entreprises s'appuient sur un petit nombre d'hébergeurs, OVH en tête. Les récents déboires du fournisseur français, qui vient de subir un incendie ayant détruit l'un de ses datacenters, a par ailleurs mis en évidence un autre type de risque, celui encouru par un défaut de sauvegarde des sites web et applications.