Comment renforcer la protection des PME face aux cyberattaques ?

Au Japon, la cyberattaque dont a été victime le mois dernier un des fournisseurs de Toyota a contraint le constructeur automobile à interrompre la production de près de 13 000 de ses véhicules. Alors que le coût mondial des cyberattaques s’élève chaque année à 6 000 milliards USD et est en constante progression, ces menaces peuvent être désastreuses pour toutes les entreprises, et en particulier pour les petites firmes. Ainsi, le coût médian d’une attaque par rançongiciel peut atteindre 1,2 million USD, et voire même s’élever à 1,6 million USD en cas de violation de données informatiques. Il est donc urgent d’agir pour aider les PME à mieux se préparer dans la gestion des risques liés à leur sécurité numérique.

Fermez la porte derrière vous…

Pendant la pandémie, alors que 70 % des PME se sont tournées vers le commerce en ligne, le télétravail ou les solutions de travail intelligent, certains acteurs malveillants y ont vu de nouvelles opportunités d’exploiter ces applications web, appareils et systèmes souvent mis en place à la va-vite. En 2020, le FBI a ainsi reçu un nombre record de plaintes en hausse de 69 % par rapport à l’année précédente. En Autriche, 60 % des entreprises ont déclaré avoir été victimes d’au moins une cyberattaque en 2021, tandis qu’en Allemagne, les dommages économiques liés à la cybercriminalité ont plus que doublé entre 2019 et 2021 pour atteindre 220 milliards EUR.

Les PME sont en retard dans l’adoption de pratiques de sécurité sophistiquées par rapport aux grandes entreprises

Source: La Transformation Digitale des PME – © OCDE 2021 basé sur Eurostat (2020), données sur l’Utilisation des TIC par les Entreprises

Bien que de grandes entreprises comme Toyota disposent de données et de ressources financières importantes, elles n’en restent pas moins des cibles intéressantes pour les cybercriminels. A l’inverse, avec des niveaux de numérisation plus faibles, une surface d’attaque plus restreinte et moins de données à exploiter, tout porterait à croire que les PME sont peu concernées par ces problématiques.

Pourtant, une adoption d’outils numériques qui s’accélère au sein des petites entreprises est régulièrement synonyme de nouvelles brèches dans lesquelles s’engouffrent les pirates. Là où les grandes entreprises se dotent de défenses plus sophistiquées et plus personnalisées (rendant ainsi les attaques plus fastidieuses et coûteuses), les PME sont ciblées par des attaques souvent bon marché et facilement reproductibles. De plus, la cybercriminalité est aujourd’hui à la portée de n’importe quel amateur qui achète un rançongiciel “as-a-service” (RaaS) pour extorquer des montants plus faibles à des PME considérées comme moins risquées.

Mais les pirates les plus ambitieux ont découvert que les PME peuvent aussi servir de porte d’entrée vers les grandes entreprises, jouant ainsi un rôle de maillon faible dans leurs chaînes de valeur. Face à ce risque, le secteur automobile est particulièrement vulnérable en raison de chaînes d’approvisionnement longues, complexes et interconnectées, avec des niveaux variables de cybersécurité. En octobre 2021, le fournisseur automobile allemand Eberspächer a par exemple subi une attaque qui a paralysé l’ensemble de ses systèmes informatiques pendant plusieurs jours. Les criminels ont également bloqué Pilz et Schmersal, deux spécialistes de l’automatisation automobile, ce qui montre que les cyberattaques sont de plus en plus souvent orientées vers les petites entreprises qui fournissent des composants stratégiques aux grandes firmes, perturbant ainsi l’ensemble de la chaîne de production.

Protéger les données

Quel que soit leur secteur d’activité, les PME doivent impérativement passer à la vitesse supérieure dans la gestion des risques de cybersécurité et dans la défense de leurs données. Au sein des pays de l’UE28, seules 33% des PME avaient en moyenne, en 2019, mis en place des mesures ou procédures de sécurisation des TIC, contre 76% des grandes entreprises. Une première étape vers plus de cybersécurité consiste à améliorer la gouvernance des données et à sensibiliser les PME aux risques de l’absence de sécurité numérique. La formation en entreprise est également essentielle car les employés eux-mêmes sont de plus en plus souvent à l’origine de problèmes de cybersécurité. En 2021, 57 % des incidents numériques au Royaume-Uni ont ainsi été causés par des employés et ce, la plupart du temps, de façon purement accidentelle.

De plus en plus de gouvernements aident les PME à lutter contre les menaces de cybersécurité. En Allemagne, le Bureau de Transfert de Sécurité Informatique pour les PME favorise le transfert de connaissances et de technologies en matière de sécurité informatique, ainsi que la mise en œuvre de mesures et de campagnes de sensibilisation. Au Costa Rica, les Smart Community Centres ont quant à eux opté pour une approche plus pratique en proposant aux PME des cours d’introduction à la cybersécurité. Ces centres proposent également des formations sur les nouvelles technologies des données telles que les statistiques, le big data, l’intelligence artificielle et l’internet des objets (IdO).

Les gouvernements collaborent aussi avec les entreprises technologiques pour améliorer la sécurité numérique de façon générale. Cela comprend le développement de solutions commerciales spécifiques aux PME ainsi que des mesures visant à améliorer les protocoles de sécurité de leurs produits et services. L’Australie a investi 1,67 milliard AUD dans sa Stratégie de Cybersécurité 2020 pour aider les entreprises à sécuriser leurs produits et services, et à protéger leurs clients contre les cybermenaces connues à ce jour. La Suède a quant à elle accordé des subventions à des consortiums pour concevoir des solutions de cybersécurité dans le cadre de l’élaboration de nouveaux produits et services sur le territoire national.

Des mécanismes de coopération efficaces couplés à de solides canaux de communication sont également cruciaux dans l’identification des menaces émergentes et des réponses adéquates à y apporter. Au niveau international, les réseaux intersectoriels et inter-juridictionnels, et les liens entre PME et grandes entreprises sont impératifs pour lutter contre les cyberattaques qui s’affranchissent des frontières. En Allemagne, l’Office Fédéral de la Sécurité de l’Information (BSI) cherche ainsi à renforcer la résilience de ces réseaux par le partage de connaissances et d’expériences entre entreprises et prestataires de services en sécurité numérique, avec pour leitmotiv “Les réseaux protègent les réseaux”.

La lutte contre la cybercriminalité est, en définitive, en train de s’intensifier. À mesure que les données sont de plus en plus vitales aux modèles commerciaux des PME (“La connaissance client”), à leurs chaînes d’approvisionnement (“La production à flux tendu”) et à leurs processus de production (“L’automatisation”), leur valeur n’a de cesse d’augmenter aux yeux des acteurs malveillants qui disposent d’outils, de compétences et de techniques de plus en plus sophistiqués et de moins en moins coûteux. Les PME doivent donc prendre le problème à bras-le-corps avec des mesures urgentes, et collaborer avec les gouvernements et la communauté technologique pour assurer leur protection ainsi que celle de leurs clients et de leurs chaînes d’approvisionnement.


La Recommandation de l’OCDE sur la Gestion du Risque de Sécurité Numérique pour la Prospérité Economique et Sociale fournit des orientations pour une nouvelle génération de politiques visant à optimiser l’ouverture des entreprise aux sujets du numérique et à la gestion des risques de sécurité y afférant. Ce document suggère aussi un leadership au plus haut niveau au sein des gouvernements et organisations internationales afin de souligner toute l’importance de donner aux PME les moyens de gérer elles-mêmes leur sécurité numérique.

Si vous souhaitez en savoir plus sur la sécurité numérique des PME, ainsi que sur les tendances émergentes et les politiques adéquates, nous vous invitons à consulter les deux publications récemment publiées par l’OCDE La Transformation Digitale des PME et Les Perspectives de l’OCDE pour les PME et l’Entrepreneuriat 2021. De plus, ne manquez pas la sortie de la Phase 1 du projet conjoint entre la Commission Européenne et l’OCDE intitulé “Libérer le potentiel des PME à changer d’échelle” qui aborde la question de la gouvernance des données dans les PME.

Lire aussi l’article en :

Head of SME and Entrepreneurship Performance, Policies and Mainstreaming unit at | Website | + posts

Sandrine Kergroach is Head of SME and Entrepreneurship Performance, Policies and Mainstreaming unit at the OECD Centre for Entrepreneurship, SMEs, Regions and Cities (CFE). She leads the work on innovation, internationalisation and the scaling up of SMEs and start-ups, their productivity and ESG performance. She supervises activities related to policy monitoring, the development of data infrastructure and the OECD SME and Entrepreneurship Outlook. She also leads efforts for mainstreaming SME&E policy considerations. Sandrine holds a Doctorate in Economics (TU Berlin), a Master in Strategy and Management (Paris Dauphine-PSL), a Master in Modern History (Paris Sorbonne) and a Bachelor in Applied Economics and Statistics (Paris Dauphine-PSL).

Head of Section, Cyber Security for the Private Sector at Federal Office for Information (BSI) | + posts

Stefan Becker joined the Federal Office for Infomation Security (BSI) as Head of Section, Cyber Security for the Private Sector in May 2017. He started his career at the criminal police in Bonn in 1994. With the creation of the Cybercrime Competence Centre he moved on to the Landeskriminalamt Nordrhein-Westfalen in 2011. Stefan Becker holds a degree in public administration as well as an MBA with a specialisation in Risk and Fraud Management.

Policy Analyst, OECD Digital Economy Policy Division at | Website | + posts

Laurent Bernat is a policy analyst at the OECD Secretariat in the Digital Economy Policy Division. He supports the Working Party on Security in the Digital Economy (SDE), under the Committee on Digital Economy Policy (CDEP), as well as the OECD Global Forum on Digital Security for Prosperity. He led the development of the OECD Recommendations on Digital Security Risk Management for Economic and on Social Prosperity (2015) and on Digital Security of Critical Activities (2019). Currently, he coordinates policy work on the digital security of products, vulnerability treatment, “responsible response” by private actors, and the security of communication networks. Laurent worked on many different trust-related policy issues including national cybersecurity strategies, digital identity management, RFID, cryptography policy and the protection of children online. Prior to joining the OECD in 2003, he worked at the French data protection agency, the Commission nationale de l'informatique et des libertés (CNIL) and was associate director in an Internet consulting firm. Laurent BERNAT has a master in political science and international relations.