Comment les PME françaises sont rançonnées par les cyberattaques

Les PME sont des proies faciles pour les cyber-délinquants. "Les PME sont directement ciblées" par les cyber-criminels "et il y en a qui meurent en silence, qui mettent la clef sous la porte à cause d'attaques informatiques", soulignait récemment Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi).

L'institut de recherche technologique SystemX s'est lancé dans une étude pour essayer de quantifier un phénomène méconnu mais réel. Car le phénomène visant les PME s'apparente plus à une marée de cyberattaques basiques qu'à des intrusions informatiques très sophistiquées comme celle qu'avait subi la chaîne de télévision TV5 Monde en avril 2015, bloquant ses programmes télé pendant plus de deux jours.

À la suite d'entretiens avec une soixantaine de petites entreprises, elle estime que "largement plus de 1% des PME" ou associations de moins de 50 employés, soit plus de 50.000 entités, sont victimes chaque année d'attaques réussies par rançongiciels, la plus fréquente des cyberattaques. Celles-ci consistent à rendre inaccessibles en les cryptant des fichiers de l'entreprise avec des programmes malveillants (malware) et à exiger le paiement d'une rançon pour les débloquer.

Les "rançons" demandées seraient de quelques milliers d'euros

Aujourd'hui, les tentatives d'injection de ces rançongiciels sont "quasi-quotidiennes" pour les PME, affirment les responsables de l'étude. Lorsqu'une PME est victime d'une cyberattaque réussie de ce type, la rançon n'est en général pas très élevée, révèle l'étude. "On demande souvent 2000 à 3000 euros aux petites structures" estime Philippe Laurier, l'auteur de l'étude de SystemX.

Mais le préjudice réel est beaucoup plus élevé, si l'on prend en compte les dégâts collatéraux de l'attaque, comme les heures perdues, les pertes de chiffre d'affaires ou les perturbations de production. Au total, les rançongiciels causeraient chaque année aux PME un préjudice cumulé qui dépasse les 700 millions d'euros par an, selon l'étude de SystemX.

Si l'on prend en compte tous les types de cyberattaques dont sont victimes les PME - surtout les "fraudes au président", où les escrocs parviennent à obtenir un virement en usurpant au téléphone ou par email l'identité du patron - les préjudices dépassent le milliard d'euros chaque année, selon SystemX.

200 millions de rançons ou de versements frauduleux par an

L'étude évalue à près de 200 millions d'euros les rançons ou versements frauduleux qui quitteraient la France chaque année, du fait des crypto-virus ou des "fraudes au président" auprès de petites entreprises, selon l'étude de SystemX.

À ces préjudices économiques, il faut également ajouter les coûts humains, tant ces attaques sont "fragilisantes" pour les dirigeants ou leurs salariés, explique Philippe Laurier.

Pourtant, selon l'auteur de cette étude, des mesures préventives de protection informatique permettraient aux PME d'éviter la quasi-totalité des cyberattaques observées jusqu'à maintenant, comme la sauvegarde systématique de leurs données sur un support de stockage déconnecté d'Internet. L'Anssi a également publié avec la Confédération des PME (CPME, ex CGPME) un guide des bonnes pratiques pour la sécurité informatique à destination des PME.