Unigros, qui regroupe les associations et syndicats du marché de Rungis a voulu évaluer la perception de ses 1200 membres sur le sujet cyber, en vain. Les experts épinglent les problèmes de posture des dirigeants, en regard d’une récente enquête Ifop sur le sujet.

Combien de TPE-PME se sont fait attaquer en 2021 ? La question ne connaît pas de réponse précise. Elle a cependant intéressé Unigros, l’organisation professionnelle qui regroupe 1200 membres du marché international de Paris-Rungis, en très grande majorité des petites entreprises de commerçants d’une dizaine de salariés. « Nous n’avons pas d’idée claire sur le nombre d’adhérents qui se sont fait réellement attaquer.

A lire aussi : [Chronique] Les RH, acteurs et stratèges de la cybersécurité

Nous avons mené un sondage sur la cybersécurité et seulement une dizaine de réponses nous ont été apportées, sur l’ensemble de nos membres, c’est un chiffre révélateur » explique ainsi Yann Berson, vice-président d’Unigros et directeur général du grossiste Dispéré.

Le dirigeant a été invité à témoigner dans le cadre d’une rencontre de presse organisée par l’agence Cymbioz, spécialisée sur les thèmes cyber, le 9 décembre dernier. Le consultant Jérôme Saïz, qui animait les échanges a rappelé avec justesse que pour les TPE-PME c’est en particulier l’explosion de la menace des ransomwares qui a tout changé ces dernières années : « Tout peut s’arrêter du jour au lendemain maintenant. Pour les petites entreprises, c’est le risque de tout perdre. Et à l’échelle du pays, c’est une potentielle catastrophe économique si une attaque d’ampleur frappait largement la France, comme l’a rappelé le directeur de l’Agence nationale de la sécurité des systèmes d’information, Guillaume Poupard ». 

Les TPE-PME croient que seules une minorité d’entre elles sont victimes des cyberattaques

Les experts s’accordent à dire que cette dynamique inquiétante peut-être enrayée si chaque patron comprend qu’il a une responsabilité et consacre une part de son budget à la question. Mais ce n’est généralement pas cet état d’esprit qui remonte du terrain, comme le laisse supposer l’expérience du sondage d’Unigros.

Une récente enquête de l’Ifop pour Xefi montre que l’enjeu cyber n’est évidemment pas totalement inconnu pour les dirigeants de TPE-PME mais que ceux-ci font preuve malgré tout d’une faible maturité dans leurs actions sur le sujet, le cas échéant. Ainsi, 63% des entreprises déclarent savoir précisément ce qu’est la cybersécurité ; un chiffre qui monte à 76% en île de France, et à 83% pour les structures de plus de 20 salariés. Pour près de 4 entreprises sur 10, c’est le patron lui-même qui est à la manœuvre sur le sujet et quasiment la totalité des organisations utilisent au moins un outil pour se protéger, généralement un antivirus et éventuellement un pare-feu ou encore un système de sauvegarde.

Cependant, ce « minimum syndical requis » ne change pas le fond du problème : 77% des répondants à l’enquête Ifop estiment ainsi que seule une minorité des TPE-PME a déjà été victime d’une cyberattaque et 75% pensent que leur entreprise présente un risque assez faible ou même très faible d’être touchée. En regard, 8 entreprises sur 10 se disent plutôt protégées ou même « tout à fait protégées ».

« Sans informatique aujourd’hui, on ne sait plus faire grand-chose à Rungis »

Pascal Le Digol, qui dirige les activités françaises de l’éditeur Watchguard, spécialisé dans la protection du télétravail, s’alarme de cet état d’esprit. « Encore une fois, on en arrive à n’avoir un déclic dans les organisations que quand une attaque a eu lieu et a fait des dégâts. Le plus inquiétant, c’est que ce constat pour les TPE-PME était déjà fait avant 2019… et qu’elles n’ont fait aucun progrès en trois ans malgré les risques croissants ». Et pour l’expert, la question du nombre d’entreprises touchées est rhétorique : « 100% des entreprises sont attaquées, même si elles ne s’en rendent pas compte et que toutes les attaques n’aboutissent pas. Tout le monde reçoit du phishing par exemple ».

Yann Berson reconnait d’ailleurs la criticité du sujet pour le marché de Rungis : « Il faut être honnête et dire que sans informatique aujourd’hui, on ne sait plus faire grand-chose à Rungis. Pourtant, dans notre sondage, personne n’a répondu « cela va m’arriver tôt ou tard, c’est certain ». Et si toutes les entreprises nous disent qu’elles iront porter plainte si elles étaient victimes d’une cyberattaque, je pense que c’est parce qu’on leur a posé directement la question. Sinon elles n’y auraient pas pensé forcément. Les TPE ont trop la tête dans le guidon, à faire tourner la boutique ».

Des prestataires informatiques encore trop légers

Les dirigeants de TPE-PME ne sont cependant pas les seuls à se faire épingler : ils sont encore trop souvent très mal accompagnés. « La prise de conscience du problème est souvent reportée sur le prestataire informatique. Or, les informaticiens ne sont en soi des spécialistes de la cybersécurité. Ils sont aussi nombreux à juger que « cela n’arrive qu’aux autres » et que puisqu’il y a un antivirus, la case cybersécurité du contrat a été cochée et que donc tout va bien. Sans culture numérique et cyber à jour, le prestataire peut même contribuer à baisser le niveau de sécurité de son client » tacle Adrien Gendre, chief product officer de VadeSecure, qui fournit des solutions de protection pour les emails.

Et il souligne également l’ingéniosité des criminels, par rapport aux solutions numériques qui peuvent être proposées aux entreprises : « La responsabilité des éditeurs de logiciels, applications et sites est importante, car ils doivent faciliter l’accès et l’usage en matière de sécurité. Pour l’anecdote, on constate que dans certains cas de phishing, l’expérience utilisateur proposée par les criminels est bien meilleure que l’originale, avec des informations plus claires et des boutons plus adaptés par exemple ».

Les deux experts critiquent également la tendance des professionnels de la sécurité à proposer une offre basique peu chère et de pratiquer l’up-selling de fonctionnalités, ce qui généralise une « protection cyber à plusieurs vitesses » et encourage une approche du moins disant dans les entreprises.

Des labels, des assurances, de la sensibilisation…

Une analyse à laquelle souscrit Joël Mollo, qui a récemment rejoint le spécialiste de la protection des terminaux, Cybereason en tant que vice-président pour la France : « Il ne suffit pas de mettre une solution cyber en place pour être protégé, surtout quand celle-ci est de facto souvent vieillissante. Il existe aujourd’hui des certifications, comme le label Cyberexpert qui aide à sélectionner les prestataires et à s’assurer que l’on a le bon niveau de service par rapport à ses besoins. Par ailleurs, de plus en plus d’assurances sont très exigeantes sur la nature et la pertinence des solutions et accompagnements mis en place d’un point de vue cyber dans l’entreprise ».

La maturité des petites et moyennes entreprises nécessite donc un suivi régulier et des piqûres de rappel pour faire émerger la culture de la sécurité du numérique qui manque cruellement à l’heure actuelle. Des structures sectorielles comme Unigros assument de plus en plus leur responsabilité en la matière. Malgré des premiers retours décevants, l’organisation souhaite pérenniser ses enquêtes sur le sujet, en ajustant chaque année son questionnaire. Peut-être qu’en interrogeant encore et encore les dirigeants de façon précise, ceux-ci se rendront compte que leur confiance actuelle sur le sujet cyber est malheureusement très loin d’être justifiée.