Les cyber-risques quand on est sous-traitant

Les petites structures, une cible de choix

Contrainte financière, effectifs réduits, sujets informatiques peu maîtrisés et largement sous-traités… Les TPE sont, sur le plan de la cybersécurité, particulièrement vulnérables. Leur petite taille leur permettait jusqu’ici d’être quelque peu à l’abri des attaques. Dans la mesure où leur activité ne présentait pas d’enjeu stratégique majeur, elles restaient « sous le radar » des pirates informatiques. Ce n’est plus le cas désormais. Alors que les grandes structures développent des systèmes de défense de plus en plus sophistiqués, les petites entreprises font figure de maillon faible pour les atteindre plus facilement.

De nombreux cas récents ont montré que si les petites structures ne sont pas forcément visées en soi, elles représentent une porte d’entrée royale vers des acteurs plus importants pour différentes raisons :

• leur système informatique est interconnecté avec celui du donneur d’ordre ;
• les produits qu’elles fabriquent sont destinés à intégrer leur chaîne de production ;
• elles stockent des données sensibles de leurs clients.

Vous êtes malheureusement plus important que vous ne le croyez aux yeux des hackers. Même les activités anodines telles que le transport ou la réparation d’équipements peuvent être visées, tant qu’elles créent un contact fréquent, réputé peu dangereux et donc peu surveillé, avec un acteur plus stratégique. Il y a cinq ans, la chaîne américaine de magasins Target a été piratée par le biais d’un sous-traitant en charge de la climatisation ! Plus récemment, Airbus a également été victime d’une série d’attaques via ses sous-traitants.
Les grands groupes « installés » développent de plus en plus la collaboration avec des start-ups, voire des travailleurs indépendants. C’est ainsi que les petites entreprises sont encore plus prisées des hackers et se retrouvent en première ligne des cyberattaques, avec des risques importants de vol de données, d’atteinte à la crédibilité et de perte de clients.

La base de la cybersécurité : former, sensibiliser et prévenir

On ne le dira jamais assez : en matière de cybersécurité, l’humain est le premier facteur de risque – ou de performance ! Il est donc important de vous former aux principaux enjeux et de sensibiliser vos équipes aux bonnes pratiques concernant les mots de passe, les mails douteux, l’utilisation des clés USB ou encore le recours à des réseaux wi-fi non sécurisés. Répéter encore et encore les bons réflexes à adopter, voilà des actions essentielles – et peu coûteuses – pour se protéger contre les attaques. Ensuite arrive l’arsenal technique, dont les fondamentaux sont connus mais insuffisamment appliqués dans les TPE : antivirus, audit informatique, gestion rigoureuse des droits d’accès, procédures d’alerte…

De nombreuses Chambres de commerce et d’Industrie proposent des formations dédiées aux TPE, et l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a édité un guide de bonnes pratiques afin d’aider les entreprises à structurer leur politique de cybersécurité. Votre prestataire informatique peut et doit vous accompagner dans cette démarche, en vous proposant des solutions adaptées à votre budget et à votre niveau de risque. Vous pouvez également le solliciter pour effectuer de la veille : se tenir au courant de l’actualité et des innovations de cybersécurité contribue à augmenter le niveau de connaissance et de réflexe de vos équipes.

Au moins aussi importante que la prévention, la résilience : combien de temps faudrait-il, en cas d’attaque, pour redémarrer la production, remettre les équipements informatiques en état de marche ou restaurer les fichiers ? Il est recommandé de réaliser régulièrement des tests d’intrusion, en faisant appel à un prestataire, ainsi que des tests de sauvegarde, pour ne pas avoir de mauvaise surprise en cas d’incident.

Favoriser la communication et la coopération avec ses clients

Plus vous êtes « petit », moins vous pourrez lutter seul contre des pirates déterminés. La coopération et le dialogue avec vos clients sont donc incontournables, les systèmes étant désormais tous connectés les uns aux autres et les flux véhiculant des volumes toujours plus importants de données parfois sensibles. La mise en place de ce climat de coopération est un changement culturel encore difficile à mettre en œuvre .La crainte est forte de perdre tous ses clients si on admet avoir été victime d’un piratage, ou avoir décelé une faille dans son système informatique. C’est pourtant cette communication sur les attaques, même bénignes et a priori résolues, qui fait que la sous-traitance peut réellement devenir une chaîne de valeur de confiance. Le niveau de sécurité informatique a d’ailleurs fait son apparition dans les cahiers des charges de certains appels d’offres. Anticipez ! Dans la mesure de vos moyens et à proportion de vos enjeux, n’hésitez pas à partager avec vos principaux clients le résultat de vos audits de sécurité ainsi qu’un résumé de votre politique informatique. Cela peut faire l’objet d’une communication annuelle dédiée, qui aura pour effet d’apporter de la crédibilité à votre image, et davantage de confiance dans la relation commerciale. Ou comment transformer la contrainte en avantage concurrentiel ! L’ANSSI a d’ailleurs souligné l’importance de cet enjeu de coopération, à travers son message pour l’année 2019 : « tous connectés, tous impliqués, tous responsables. »

Le risque 0 n’existe pas

En prenant les précautions nécessaires, vous ferez chuter considérablement le risque de cyberattaque et augmenterez la capacité et la rapidité de votre entreprise à se relever si elle est touchée. Malgré tout, vous ne pouvez avoir la certitude d’être totalement à l’abri. Afin de vous couvrir totalement en cas d’incident, certaines offres proposent :

• un soutien par prévention : e-learning, fiches pratiques… ;
• un service d’assistance, avec des professionnels joignables 24h/24 et 7j/7 ;
• de prendre en charge les conséquences pécuniaires d’une cyberattaque.

¹Selon l’étude de la cyber-résilience, édition 2019, menée par Accenture.