« Tous les patrons de TPE et PME prennent conscience du risque cyber autant que les grandes ». Lors d’une visite ce mardi au sein de l’entreprise XXII, récemment victime d’une cyberattaque, Cédric O, secrétaire d’Etat chargé de la transition numérique et des communications électroniques, a annoncé vouloir mieux informer les entreprises sur les risques de cyberattaques existants. A cet effet, le gouvernement prévoit, en accord avec les syndicats représentants de TPE et PME mais aussi l’Agence nationale de la sécurité des systèmes d’information (Anssi), la mise en place d’un dispositif d’alerte cyber à destination des plus petites entreprises, soit près d’un million de destinataires. L’objectif : concentrer l’action de prévention dans un système simplifié et accessible à tous, jusqu’à l’utilisateur final. Ainsi, « lorsqu’une vulnérabilité ou une campagne d’attaque particulièrement critique pour ce type de structure sera identifiée, une notice succincte et compréhensible pour des dirigeants d’entreprises non spécialistes de la cybersécurité sera éditée par le dispositif national d'assistance aux victimes, Cybermalveillance.gouv.fr et l’Anssi » détaille Cédric O.
Dans les jours qui suivront, la note devrait donc être transmise aux organisations interprofessionnelles (MEDEF, CPME et U2P), aux réseaux consulaires des Chambres de Commerce et d’Industrie (CCI) et des Chambres de Métiers et de l’Artisanat (CMA) ainsi qu’au dispositif public France Num, qui accompagne la transformation numérique des petites entreprises. Ces différents organismes seront chargés de relayer cette notice le plus largement possible aux entreprises avec lesquelles elles sont en relation. Le bulletin d’alerte envoyée aux bénéficiaires ressemblera donc à ceci :
La notice d’alerte détaille les risques, les systèmes concernés ainsi que les mesures à prendre pour se protéger avec des contacts à disposition. (Crédit : Gouvernement.fr)
« Informer, pas spammer »
Le dispositif s’appuie ici sur une vulnérabilité d’Apple datée de mai 2021 avec un message « facilement transférable à l’utilisateur final » comme le précise Christian Poyau, co-président de la commission mutations technologiques et impacts sociétaux au Medef. De façon plus générale, cette pédagogie pourrait limiter la casse et donner aux entreprises les moyens de se prémunir contre une attaque cybercriminelle. Jérôme Notin, directeur général de Cybermalveillance.gouv a rappelé qu’en 2020, 105 000 entreprises ont été victimes de cyberattaques, « pour un particulier touché, ce sont 2 entreprises et 40 collectivités qui le sont également » précise-t-il. Si une société impactée nécessite une intervention technique, le dispositif co-piloté par l’Anssi et le ministère de l’intérieur, assure pouvoir mettre la victime en relation avec l’un de ses 1 100 prestataires spécialisés. Ce dispositif rentre également dans un cadre plus large, celui de la transformation numérique des entreprises françaises, souvent vue comme trop lente.
« 1,4 million d’entreprises sont en demande ou en recherche de la transformation numérique » ajoute Mathieu Weill, chef du service de l’économie numérique à la direction générale des entreprises. La pandémie, accélérateur de ce changement, a été l’occasion pour certaines entreprises de se numériser. Parmi les 100 000 chèques France Num distribués depuis janvier 2021, 5 000 d’entre eux seraient dédiés à l’axe cyber. Même si l’on observe une démocratisation du sujet et une meilleure compréhension au sein des TPE et PME, le doute est permis quant aux répercussions qu’aura le dispositif sur ces types d’entreprises. Au-delà de ce système d’alerte par e-mail, qui vise « à informer et non pas à spammer » d’après Christian Poyau, le manque de suivi et de formation des entreprises à la cybersécurité reste problématique et la multiplication de guides de « bonnes pratiques » s’apparente plus à un rappel qu’à une aide quotidienne. On est en droit de se demander jusqu’à quel point, les patrons de TPE, entrepreneurs, artisans, prendront donc en considération ce dispositif.