Les PME belges négligent la cybersécurité : « L’authentification multifactorielle est un devoir moral »

Une étude réalisée par l’assureur en cybersécurité CyberContract révèle que 43 % des PME belges se trouvent en « zone rouge » en matière de cyberattaques. Stef Vermeulen, directeur général de CyberContract, explique à BusinessAM les mesures que les entreprises doivent prendre pour améliorer leur cybersécurité.


Principaux renseignements

  • De nombreuses PME belges sous-estiment les risques liés à la cybersécurité.
  • Beaucoup de « portes et fenêtres » numériques restent ouvertes, facilitant, par exemple, les fraudes d’identité.
  • Une sensibilisation accrue et un changement potentiel de la culture d’entreprise sont nécessaires.

La cybersécurité des PME belges laisse à désirer

Dans l’actualité : Les petites et moyennes entreprises (PME) belges ont tendance à sous-estimer les risques liés à la cybersécurité, selon l’étude de CyberContract.

  • CyberContract, spécialisé dans l’assurance cybersécurité pour les PME réalisant un chiffre d’affaires allant jusqu’à 100 millions d’euros, constate que ces entreprises ne savent souvent pas par où commencer. Stef Vermeulen remarque que ces entreprises ont une perception erronée des risques : « Elles pensent : Nous avons un partenaire IT, donc nous sommes protégés, ou encore Nos données sont dans le cloud, nous n’avons rien à faire. »
  • L’objectif de CyberContract est d’accompagner les entreprises pour identifier les failles dans leur système. Vermeulen qualifie ce processus d’« éclairant » pour les entreprises. Ce coaching s’avère nécessaire, car, selon l’étude, une tentative de cyberattaque aboutit une fois sur cinq, contre une tentative de cambriolage sur 250.
  • Les failles dans les systèmes de sécurité peuvent avoir des conséquences financières majeures : les pertes moyennes s’élèvent à 145.000 euros pour les petites entreprises, à 500.000 euros pour les entreprises moyennes, et à plus de 1,5 million d’euros pour les grandes entreprises.
  • Vermeulen est clair : « Soit vous avez la capacité financière pour surmonter l’incident, soit l’impact est tel que vous faites faillite. Cela peut être aussi grave. »
    • Les coûts peuvent rapidement devenir exorbitants : « Vous avez l’incident lui-même, les enquêtes et accompagnements nécessaires pour isoler et résoudre le problème. Les coûts de réparation constituent la plus grande partie du budget, sans parler des heures supplémentaires, du personnel intérimaire pour saisir les données manuellement, des nouveaux équipements à acheter, de la réputation à restaurer auprès des clients et fournisseurs, ainsi que des commandes perdues. »

Évaluation et recommandations

Suivi : En collaboration avec son partenaire Ceeyu, CyberContract a évalué la posture de cybersécurité de 309 PME belges.

  • Les résultats sont alarmants. Aucune entreprise n’a obtenu la meilleure classification de sécurité (« A »), et seulement 15 % ont reçu un « B ». En revanche, 41 % ont obtenu un « C », ce qui reflète des vulnérabilités numériques significatives à résoudre rapidement. Plus de 43 % des entreprises se situent dans la « zone rouge » avec des scores de « D » ou « F », les rendant particulièrement vulnérables aux cyberattaques.
  • Stef Vermeulen insiste sur l’importance de la prévention et de la sensibilisation. Selon lui, fermer les « portes et fenêtres » numériques est la mesure la plus efficace pour réduire les risques de cybersécurité. Il illustre cela avec plusieurs exemples :
    • « Le vol d’identité d’une entreprise est l’un des cas les plus fréquents. Un cybercriminel, si les paramètres de messagerie ne sont pas bien configurés, peut envoyer un e-mail à un comptable au nom du PDG pour demander un paiement urgent. Nous avons déjà vu de nombreux cas où de l’argent a été transféré sans vérification. »
    • « Les données personnelles compromises ouvrent la porte à des cyberattaques, explique Vermeulen. Les criminels peuvent ainsi accéder à une boîte mail, surveiller les conversations et détourner les communications. Finalement, le client ou fournisseur pense communiquer avec la bonne personne, alors qu’il parle au cybercriminel. »
    • « SafeOnWeb mène des campagnes pour promouvoir l’utilisation de l’authentification multifactorielle (MFA). Il est honteux que certaines entreprises ne l’utilisent pas encore aujourd’hui. Chaque entreprise a un devoir moral d’activer la MFA, car cela permet d’éviter de nombreuses attaques. »

Phishing simplifié

Le problème : la cybersécurité est encore trop souvent perçue comme une tâche réservée aux spécialistes IT.

  • « Vous pouvez verrouiller votre porte d’entrée avec 36 verrous, mais si les fenêtres et la porte arrière restent ouvertes, cela ne sert à rien », résume Vermeulen. « Cette prise de conscience doit devenir un réflexe, tant au niveau personnel qu’organisationnel. »
  • L’automatisation et l’intelligence artificielle facilitent le travail des cybercriminels, qui disposent désormais de kits prêts à l’emploi. « Cette facilité d’accès signifie que chaque employé doit être conscient des risques », insiste Vermeulen.
  • Il recommande aux PME de proposer des formations en ligne, notamment sur le phishing. CyberContract en propose également : « Lorsque nous montrons régulièrement aux entreprises leurs vulnérabilités numériques, et qu’elles prennent des mesures, leur score s’améliore. »

Les friteuses chinoises

À suivre : Vermeulen estime que le gouvernement a un rôle supplémentaire à jouer.

  • Il souligne que les entreprises qui n’utilisent pas la MFA manquent de responsabilité. « Dans certains pays, les dirigeants sont personnellement responsables s’ils ne prennent pas de mesures contre les cyberattaques. Une telle règle, bien que stricte, serait un pas dans la bonne direction. »
  • Il salue des initiatives comme SafeOnWeb, qui propose une extension de navigateur pour vérifier la légitimité des sites web. Il soutient également les campagnes de sensibilisation en cours.
  • L’intelligence artificielle ayant facilité les cyberattaques, Vermeulen plaide pour une réglementation accrue en matière de cybersécurité, notamment au niveau européen : « Les fabricants devraient être tenus responsables de la sécurité des appareils qu’ils mettent sur le marché. Les friteuses chinoises qui nous espionnent, cela doit cesser. »
  • Cependant, il ne pense pas que des réglementations supplémentaires entraveraient l’innovation : « Pour moi, l’innovation et la sécurité doivent aller de pair. » Il note également des améliorations dans les appareils domestiques : « Les premières versions des prises intelligentes étaient des portes ouvertes aux cybercriminels. »

Si vous souhaitez accéder à tous les articles, abonnez-vous ici!

Plus