Les plus grandes erreurs des entreprises en matière de cybersécurité
Ne vous y trompez pas : les petites et moyennes entreprises sont les cibles privilégiées des cybercriminels. Pourquoi ? Parce qu’elles se croient à l’abri et investissent moins dans leur sécurité. Cette vulnérabilité est une aubaine pour les pirates qui les perçoivent, à juste titre, comme des proies faciles.
Concernant les rançongiciels, l’un des types de cyberattaques les plus répandus, l’ANSSI indique que les TPE, PME et ETI représentent 37 % des victimes identifiées, suivies par les collectivités territoriales (17 %), les établissements d’enseignement supérieur (12 %) et les entreprises stratégiques (12 %). Ces attaques ont des conséquences lourdes car elles impactent la continuité d’activité et la réputation des organisations concernées.
Voici les erreurs les plus fréquentes commises par les TPE et PME en matière de cybersécurité.
Penser que « ça n’arrive qu’aux grandes entreprises »
En premier lieu, croire que son entreprise est « trop petite pour intéresser les hackers » constitue sans doute l’erreur la plus fatale. Ce sentiment d’invulnérabilité mène généralement à une absence d’investissement jusqu’au jour où il est trop tard.
Négliger les mises à jour logicielles et utiliser des logiciels obsolètes
Les logiciels et systèmes d’exploitation présentent régulièrement des failles de sécurité, souvent rapidement découvertes, puis corrigées via les mises à jour. Ne pas installer ces correctifs revient à laisser des « portes ouvertes » aux attaquants. L’exemple de la faille Log4Shell en 2021 a montré à quel point une brèche mineure peut avoir un impact à l’échelle mondiale.
Aujourd’hui encore, les ransomwares utilisent activement les failles oubliées pour infiltrer, par exemple, les solutions SaaS mal maintenues.
L’absence de sauvegardes fiables ou des sauvegardes mal configurées
La question n’est plus de savoir s’il faut sauvegarder, mais comment. Une sauvegarde mal configurée peut être aussi fatale que l’absence de sauvegarde. Les rançongiciels sont aujourd’hui capables de chiffrer les fichiers de production ET les copies de secours connectées. L’entreprise croit alors à tort pouvoir restaurer ses données, pour finalement découvrir que ses sauvegardes sont elles aussi verrouillées.
Le manque de sensibilisation des collaborateurs
Même avec les meilleurs outils techniques, l’humain reste la principale faille de sécurité. La plupart des cyberattaques reposent sur des tentatives d’ingénierie sociale, principalement via des e-mails de phishing.
De plus, au-delà du phishing, une mauvaise gestion des mots de passe constitue une autre faille majeure. Un seul mot de passe volé peut suffire à compromettre plusieurs comptes, surtout s’il est réutilisé sur différents outils. C’est le principe de l’attaque par « credential stuffing ».
Des accès trop larges ou mal gérés
Attention aux droits d’accès aux systèmes et aux données mal définis ! Par facilité, certains collaborateurs disposent de privilèges trop étendus par rapport à leurs besoins réels.
Cette erreur va à l’encontre du principe du moindre privilège, qui consiste à accorder uniquement les accès strictement nécessaires. Mettre en place une gestion stricte des privilèges, désactiver les comptes inactifs et contrôler régulièrement les droits d’accès sont des mesures simples pour limiter l’impact d’une éventuelle intrusion.
Ne pas disposer de plan de réponse aux incidents
Trop souvent, les PME découvrent qu’elles ne sont pas préparées le jour où l’attaque survient. Un plan de réponse aux incidents permet d’éviter ce scénario en définissant à l’avance les rôles, les procédures et les outils à activer.
Penser que confier la cybersécurité à un prestataire coûte trop cher
Externaliser votre cybersécurité vous permet de bénéficier immédiatement d’outils, d’expertises et de procédures éprouvées, sans supporter le coût d’une équipe interne dédiée.
3S2I vous propose à cet effet un accompagnement sur mesure pour faire de votre cybersécurité un atout stratégique au service de la continuité de votre activité.
Contactez-nous pour en discuter.