Logo Lefebvre Dalloz Desktop
Votre métier
icone de recherche
icone de recherche
logo
Accueil/ Actualités - La Quotidienne/ Affaires/ Biens de l'entreprise

Cyberattaques : les PME ne sont pas épargnées !

Les cyberattaques se multiplient. Si elles impactent en priorité les grandes entreprises, les PME et les sites de e-commerce sont eux aussi largement touchés et constituent des cibles que Marc Schillaci, fondateur et président d’Oxatis, souhaite alerter.


QUOTI-20170724-UNE-aff.jpg

La cyberattaque qui s’est déroulée le 27 juin dernier dans plusieurs pays européens, Russie comprise, met en évidence les failles de sécurité informatique de certaines grandes entreprises. Marc Schillaci, président d’une société spécialisée dans les solutions de e-commerce en mode SaaS, estime qu’aucune entreprise ne peut se croire hors de danger et, qu’au même titre que les grandes entreprises, les PME et les sites de e-commerce doivent prendre la mesure des enjeux sécuritaires.

La Quotidienne : Après la vague de cyberattaques essuyée par une partie de l’Europe le 27 juin, quelles conséquences pour les entreprises françaises qui ont été touchées (SNCF, Auchan, BNP…) ?

Marc Schillaci Les conséquences sont nombreuses et concernent notamment l’exploitation informatique et la réputation. Mais, si vous me permettez de regarder le verre à moitié plein, plus que l’attaque, ce qui me semble intéressant c’est la prise de conscience qu’elle permet. Aujourd’hui, il est important de se protéger et nécessaire d’anticiper de futures attaques. La question n’est plus « Une attaque risque-t-elle de se produire ? » mais « Quand va-t-elle se produire ? » et donc : « Qu’est-il possible de faire pour en limiter les conséquences ? ».

Les statistiques montrent que, particulièrement exposées, les grandes entreprises se protègent de mieux en mieux. Aussi, les hackers sont-ils tentés d’attaquer de façon plus massive des entités plus faibles. Au lieu de cibler la SNCF, ils s’en prennent à l’ensemble des sites Wordpress ou Magento. La menace passe donc des grandes entreprises, qui mettent de gros moyens pour se défendre, vers des cibles plus petites et beaucoup plus vulnérables parce que moins sensibilisées au danger. Selon une source Cisco, en 2011,18 % des attaques concernaient des PME ; ce chiffre est désormais de 43 %. La tendance est nette.

La Quotidienne : Que peuvent faire les PME pour mieux se protéger ?

M. S. C’est avant tout une question de bon sens. Aux mots de passe inutiles, elles doivent préférer des mots de passe renforcés (au moins une dizaine de caractères parmi lesquels des majuscules, des minuscules, des chiffres). Elles doivent encadrer les téléchargements d’outils et de documents que les salariés font sur internet, mais aussi mettre en place une politique d’installation de logiciels afin d’éviter qu'un collaborateur n’installe n’importe quel outil. Bref, elles doivent mettre en place des procédures internes solides et concertées. Elles verrouilleront ainsi bon nombre d’accès par lesquels se glissent les hackers. Cela demande un peu de temps, mais pas d’investissements financiers.

Ensuite, au niveau du réseau, il existe des points d’entrée qui doivent être équipés de pare-feu. Ceux que l’on trouve dans le commerce sont en général très bons. Reste que les entreprises ne fonctionnent pas en circuit fermé et qu’elles ont besoin de communiquer avec l’extérieur, de transmettre des données, d’accéder à internet… Pour cela, elles doivent ouvrir leurs portes et à partir du moment où les portes s’ouvrent, des problèmes peuvent survenir. Là encore, il faut faire preuve de bon sens. Si l’entreprise souhaite communiquer à un partenaire le chiffre d’affaires détaillé que ce dernier va dégager sur telle ou telle opération, elle a tout intérêt à pousser ces données sur un site tiers plutôt que d’ouvrir une porte pour permettre au partenaire de venir les chercher. Cela ne coûte pas cher.

Enfin, l’entreprise doit s’équiper d’anti-virus, éviter les outils gratuits ou bon marché qui ne sont pas mis à jour régulièrement. Même si l’entreprise ne dispose que de cinq PC, elle doit mettre en place une politique homogène car il est inutile d’équiper le poste du gérant si celui de son assistant ne l’est pas.

La Quotidienne : La solution que vous proposez chez Oxatis concerne plus particulièrement le e-commerce

M. S. En effet ! Les sites de e-commerce sont une cible privilégiée pour les hackers qui savent qu’en s’y introduisant, ils pourront, à tout le moins, récupérer des adresses mails de clients. Lorsque le site est très mal protégé, ils peuvent même accéder à leurs informations bancaires. Nombre de sites ne savent pas que leurs données sont pillées. Dans l’ignorance, ils ne risquent pas de remédier au problème ! Et ce n’est pas une hypothèse d’école, aujourd’hui, de nombreux sites de e-commerce présentent des failles de sécurité, notamment parce que leurs outils ne sont pas mis à jour régulièrement. On estime à 60 % le nombre de sites marchands dont le logiciel acquis auprès d’un éditeur n’est pas à jour. C’est grave pour le marchand, bien sûr, mais aussi, et peut-être plus encore, pour ses clients qui, lors d’une transaction mal sécurisée, s’exposent à lâcher des données confidentielles dans la nature ! Il faut savoir aussi que c’est toute la stratégie commerciale d’un site mal sécurisé qui peut être mise à nue par des hackers : Qui achète quoi sur tel site ? Quel est le pourcentage de clients venus via Google adwords, Google shopping ou par le référencement naturel ? Quels sont les comportements d’achat ? Dans la guerre économique que se livre les sites, l’information stratégique à elle aussi valeur de butin. La technologie du SaaS que nous proposons garantit que toute faille de sécurité découverte est immédiatement mise à jour et résolue, ce qui permet d’éviter ces pillages en règle.

J’ajoute que les nuisances d’une concurrence menée sur le terrain du hacking ne s’arrêtent pas à la captation de données et d’informations. Imaginez dans une rue de Paris un vendeur de chemises dont la boutique, de quelques mètres carrés, ne peut accueillir que 3 ou 4 acheteurs en même temps. Maintenant, imaginez que du jour au lendemain, 5000 personnes se pressent pour entrer dans cette boutique sans la moindre intention d’acheter. Les 3 ou 4 clients habituels, qui se trouvent ainsi interdits de magasin, passent évidemment leur chemin. C’est une image mais, aujourd’hui, des concurrents malveillants sont en mesure de prendre pour cible un site de e-commerce et d’organiser artificiellement un tel afflux. La paralysie du site provoquée par cette attaque par déni de service distribué (DDoS attack en anglais) peut coûter très cher au marchand. Il existe des filtres puissants pour déjouer ce type d’attaque, filtres qui laissent entrer les vrais clients et repoussent les autres. Pourtant peu de sites en sont équipés. Raison pour laquelle il est, de mon point de vue, important d’insister sur les risques qu’ils encourent.

Propos recueillis par Laurent MONTANT



Marc SCHILLACI, président d’Oxatis

© Editions Francis Lefebvre - La Quotidienne

Aller plus loin


Mémento Sociétés civiles 2024
affaires -

Mémento Sociétés civiles 2024

Le mode d’emploi des SCI, SCPI, SCP, SCM, GAEC…
175,00 € TTC
Navis Conventions collectives
affaires -

Navis Conventions collectives

Le complément naturel de Navis social
298,54 € HT/mois