[L’enquête] Depuis que les grands groupes se protègent mieux, PME et collectivités sentent les cyberattaques se concentrer sur elles, du fait de leur manque de maturité. L’écosystème historiquement peu calibré pour accompagner ce segment de marché se remet rapidement en question.

Le dynamisme du marché français en matière de cybersécurité ne manque pas d’impressionner. Ces deux dernières années, l’investissement dans l’innovation cyber a ainsi surperformé dans un contexte clairement morose. De même, l’Hexagone, au-delà de ses start-up, peut s’appuyer à la fois sur des grands groupes qui ont clairement pris le tournant cyber et un tissu important d’éditeurs de logiciels qui proposent aujourd’hui des batteries d’offres très diversifiées. De quoi préparer l’avenir sereinement ? Avec son focus sur l’intelligence artificielle en cybersécurité, le thème 2024 « Ready for AI ? » du Forum InCyber de Lille (ex-Forum International de la Cybersécurité) pourrait sembler porter un tel message.

La faiblesse du ventre mou

Pourtant, le ventre mou de l’économie française, ses petites et moyennes entreprises, est aujourd’hui particulièrement exposé à la menace. Le panorama de la menace cyber réalisé chaque année par l’Agence nationale de la sécurité des systèmes d’information (Anssi) est en ce sens éloquent : en 2023, par exemple, les entreprises de taille intermédiaire, PME et collectivités représentaient collectivement 58 % des victimes de rançongiciels. Un chiffre auquel il faut ajouter les 10 % relatifs aux établissements de santé. Tous partagent les mêmes difficultés : manque de compétences, de budgets et de temps.

Dans son rapport, l’Anssi constate par ailleurs que « depuis plusieurs années des routeurs de particuliers, de petites et moyennes entreprises (PME) et de collectivités territoriales sont compromis, puis intégrés à [des] réseaux d’anonymisation ». C’est-à-dire des réseaux de machines compromises « communiquant entre elles, utilisées par un groupe d’attaquants afin de rendre ses opérations plus furtives ». Les organisations de plus petites tailles deviennent ainsi des « relais actifs » de campagnes cybercriminelles, prévient l’agence, estimant que le sujet de la sécurité est donc bien un « enjeu collectif ».

Faire réagir et s’exprimer les PME elles-mêmes sur le sujet n’est pas facile et des initiatives en ce sens ont déjà déçu par le passé. De plus, les attaques sur les PME sont, par nature, moins médiatisées. Et les organisations de plus petites tailles touchées ont évidemment beaucoup plus de risque de disparaître après avoir été compromises, du fait de l’impact de l’attaque, rendant les témoignages, après de tels événements, délicats. La ville de Chalon-sur-Saône a dû débourser 550 000 euros en 2021 suite à une cyber-attaque. « J’ai suivi ces informations de près, car c’était juste à côté de chez nous. Et les experts avec qui j’ai discuté m’ont fait remarquer que si cela avait touché une PME, elle aurait fait faillite, tout simplement. En tant que collectivités, nous n’avons pas toujours conscience de cela, malgré les points communs », note Xavier Winckel, chef du service système d’information de la ville de Mâcon. « Je me dis qu’il faut que l’on réfléchisse comme une PME pour mieux nous adapter aux enjeux », poursuit-il.

La difficulté d’accès au marché des PME

Mais la responsabilité de cette situation n’incombe-t-elle pas aussi aux acteurs du marché cyber eux-mêmes ? Par facilité et par intérêt économique, la plupart d’entre eux font en effet reposer leur modèle d’affaires sur l’accompagnement des grands groupes, beaucoup plus matures. Commercialiser des offres auprès d’un tissu économique aussi divers et fragmenté n’a en effet rien d’évident. Et les solutions qui font vraiment la différence pour les grandes entreprises ne sont pas forcément appropriées pour leurs petites sœurs.

« On ne peut pas proposer tel quel un Security Operation Center à une PME. Quand bien même en aurait-elle les moyens, par exemple avec de la mutualisation, que ferait-elle des alertes ? L’accompagnement doit être beaucoup plus présent », prend pour exemple Pascal Le Digol, qui dirige en France l’éditeur de solutions de sécurité Watchguard. Il a fait du sujet de l’accompagnement des PME l’un de ses chevaux de bataille. « Le seul lien qu’ont aujourd’hui un très grand nombre de PME avec le marché de la cyber, se fait par le biais de leur prestataire informatique habituel ou d’un intégrateur. Et il y a donc de très grandes disparités de maturité et d’intérêt pour la cybersécurité », détaille-t-il. L’approche « case à cocher » à côté de l’offre bureautique et « culture de l’antivirus » sont selon lui des réflexes encore extrêmement présents chez ceux qui s’occupent de la gestion externalisée de l’informatique des PME.

Pour les experts cyber interrogés, un élément qui peut faire la différence est l’ancienneté des équipes chez les prestataires, facilitant le relationnel et l’accompagnement. Mais au-delà de ces avantages circonstanciels, c’est bien l’écosystème tout entier qui doit aussi se réinventer.

Conscient du problème, des acteurs privés structurent ainsi différemment leurs offres. C’est le cas de Docaposte, la filiale spécialisée dans le numérique de confiance du groupe La Poste. Guillaume Poupard, qui a dirigé pendant plus de 8 ans l’ANSSI, avant de devenir en 2023 directeur général adjoint de l’entreprise, mesure bien tout l’enjeu qu’il y a en France à ne pas seulement contribuer à la protection des grandes organisations : « Les grands acteurs vont chercher de la tech’ et ont les personnes pour bien l’intégrer. Pour les plus petits, la situation est tout autre. Notre question était donc : est-ce que l’on ne pourrait pas aller chercher des technologies que l’on sait très matures, pour les packager et en masquer la complexité ? ». En proposant son « Pack Cyber », Docaposte veut donc créer un choc de simplicité auprès des PME, collectivités locales et acteurs de la santé, en se présentant comme un interlocuteur unique.

Ce pack, lancé le 26 mars à l’occasion du Forum InCyber, réunit dans une seule offre commerciale une variété d’offre en matière de prévention, sensibilisation, sauvegarde des données, EDR, protection des messageries, de la navigation sur Internet, ou encore de gestionnaire de mot de passe. Elle propose également de faciliter l’accès à un SOC, à des équipes de réponses à incident ou encore à de la cyber-assurance (en s’appuyant sur CNP assurance, une autre entreprise du groupe La Poste). Le tout en contractualisant une seule fois plutôt qu’en allant chercher s’adresser à chaque prestataire de façon indépendante.

Mais comment pousser une telle offre jusqu’aux dizaines de milliers de PME françaises ? « Tout l’enjeu est de rentrer dans les écosystèmes locaux. Notre lien avec les forces de vente très développées de La Poste, pour apporter le Pack Cyber au catalogue, doit nous aider. Il faut construire un modèle indirect performant. Le Pack est standard, mais on ne peut pas parler de la même façon à un hôpital, une collectivité ou à une PME d’un secteur ou d’un autre » récapitule Guillaume Poupard. Sur les canaux de distribution, l’entreprise dit ne rien s’interdire et espère pouvoir s’appuyer sur les réseaux de vente des opérateurs télécoms et des banques. Elle commence également un travail avec Bpifrance, afin de toucher et de sécuriser les petites entreprises qui ont contracté des prêts auprès de la banque publique d’investissement.

Une autre façon de voir l’assurance cyber

La réflexion sur la transformation des modèles fait aussi son chemin du côté de l’assurance cyber. Créée en 2021, la jeune entreprise française Stoïk vise de façon assumée les entreprises de moins de 500 millions de chiffre d’affaires, pour couvrir jusqu’à 5 millions d’euros de perte dans ses polices d’assurance. « Mais l’assurance n’est qu’une partie du sujet, ce que nous essayons de faire c’est de mettre en place un cercle vertueux en participant activement à la prévention » décrit Jules Veyrat, le directeur général. L’entreprise a ainsi mis en place une plateforme pour accompagner les PME dans leur montée en compétences. Du point de vue de l’assureur, celle-ci permet de diviser par deux la fréquence des risques cyber. « Contrairement aux autres assureurs, nous avons également mis en place notre propre équipe CERT (de réponse à incident), disponible 24/7, ce qui nous permet de limiter les pertes et de faciliter une remise en état le plus vite possible ».

Cette stratégie fait partie intégrante du modèle d’affaires du néo-cyberassureur, puisque la prévention et la remédiation rapide visent à réduire au total le montant des indemnisations qui seront à débourser, du fait d’une moindre gravité des attaques. La réponse à l’incident n’implique d’ailleurs pas de surcoût pour l’assuré : l’assureur a donc tout intérêt à régler les problèmes au plus vite. L’idée paraît relever du bon sens, mais elle a demandé à Stoïk de changer les habitudes et les réflexes en ne se limitant pas à une vision traditionnelle d’assureur. La start-up a également dû faire preuve de pédagogie et d’accompagnement afin d’embarquer les courtiers qui sont, eux, en contact direct avec les PME, non seulement au moment de la souscription, mais aussi ensuite de la vie du contrat.

La recette semble fonctionner. « Nous avons fait vœux de transparence : la fréquence des sinistres, c’est-à-dire des incidents qui déclenchent bel et bien une garantie, pour nos assurés est de 3,87%. Le reste du marché ne communique pas vraiment sur cet aspect, mais on l’évalue en général dans une fourchette de 5 à 7% chez les grands assureurs qui s’adressent aux PME-ETI. » met en avant Jules Veyrat.

De multiples possibilités d’accompagnement

Le secteur privé n’est pas le seul à se remettre en question pour trouver de meilleures recettes d’accompagnement d’acteurs de petites tailles. Les collectivités, par exemple, bénéficient d’une communication grandissante de la part des autorités, qui les orientent vers des services gratuits. Des subventions spécifiques font également leur apparition. C’est le cas dans la région Île-de-France qui a mis en place un dispositif “Chèques cyber” pour un montant allant jusqu’à 5000 euros, afin d’aider les PME-ETI à identifier les actions prioritaires à mettre en œuvre pour renforcer leur niveau de sécurité. Les demandes d’aides peuvent directement être faites sur le site dédié aux démarches auprès de la Région.

L’évolution réglementaire devrait également provoquer un électrochoc dans les prochaines semaines. « La directive européenne NIS 2 va obliger de nombreux acteurs à changer de braquet » reconnaît Pascal Le Digol. Cette réglementation doit être transposée dans le droit national d’ici octobre 2024. Elle renforce et complète l’approche de sa prédécesseuse NIS 1 de 2016, en élargissant les obligations de conformité et de signalement à la majorité des secteurs d’activité et à des tailles d’organisation beaucoup plus réduites. Surtout, elle pousse à représenter la cybersécurité autour des chaînes d’approvisionnement : les PME sont ainsi des composantes à part entière des chaînes de valeur des plus grandes organisations dont elles sont fournisseuses. Les grands groupes ont dès lors l’obligation d’accompagner leur montée en maturité et de surveiller le respect de leurs exigences.

« Les arguments que l’on entend habituellement chez les dirigeants de PME, comme « je suis trop petit » et « je n’ai rien à cacher dans mon SI », ne seront plus vraiment des réponses valides face à NIS 2 et aux nouvelles pratiques mises en place par les grands donneurs d’ordre », souligne Pascal Le Digol.

Une place pour l’IA ?

Les écosystèmes sectoriels s’organisent en conséquence. Ainsi, le Comité stratégique de filière (CSF) « Nouveaux systèmes énergétiques », particulièrement concernés par cette omniprésence des PME dans la chaîne de valeur du secteur, propose depuis 2023 un programme de sensibilisation. « Il repose sur deux originalités : c’est un dirigeant qui s’adresse à ses pairs. Pour rendre le propos concret, la démonstration consiste à exécuter une cyberattaque sur une entreprise fictive, en se plaçant du côté de l’attaquant », explique Thierry Trouvé, ancien directeur général de GRTgaz, impliqué dans le programme. Le CSF encourage à profiter du dispositif d’accompagnement « Cyber-PME » conçu par le ministère de l’Économie et des Finances et opéré par Bpifrance. Doté d’une enveloppe de 12,5 millions d’euros en 2024, il vise à réaliser des diagnostics d’exposition aux risques cyber, à permettre l’élaboration d’un plan de sécurisation et à cofinancer des solutions en conséquence.

Autant de dispositifs et de sujets d’action qui semblent loin des préoccupations actuelles des experts de la cybersécurité en matière d’intelligence artificielle. Si celle-ci facilite déjà sous diverses formes l’automatisation et l’utilisation des solutions de sécurité, elle n’est pas une attente majeure pour des acteurs de petite taille qui peinent à en comprendre les implications pour leur quotidien cyber. Xavier Winckel de la ville de Mâcon prévient d’ailleurs : « Je suis contre l’idée d’une automatisation totale qui « réglerait le problème » des compétences dans les petites structures, notamment parce que le besoin de contextualisation et d’adaptation restera toujours très important. Aujourd’hui, ce dont nous avons besoin, c’est avant tout d’intelligence humaine pour comprendre et saisir les enjeux de cybersécurité dans les organisations de petites tailles ».