Dans l’imaginaire collectif, les cyberattaques visent les grandes entreprises, les institutions ou les infrastructures critiques. Pourtant, les PME concentrent aujourd’hui plus de 80 % des attaques recensées par l’ANSSI. Des intrusions souvent discrètes, parfois massives, mais toujours dévastatrices : une PME sur deux ne s’en relève pas.
C’est pour briser ce déni que Whaller, plateforme collaborative souveraine, a participé une table ronde sur le thème : « Cybersécurité en PME : 10 gestes simples qui sauvent » au Forum Cybersec Cloud IA. Autour de Cyril Bras, Directeur cybersécurité de Whaller, Leslie Laoui, Partner Account Manager de Mailinblack, Anthony Duplantier, Fondateur d’Holirisk et RSSI de la Mutuelle des motards et Dũng Ly, Directeur Général d’Ikoula, plusieurs experts ont livré un constat lucide : la première faille n’est pas technique, elle est humaine.
« Je suis trop petit pour être attaqué » : le faux sentiment d’immunité
La plupart des dirigeants de PME partagent la même croyance : « Nous sommes trop petits pour intéresser des hackers. »
Cyril Bras, Directeur Cybersécurité de Whaller et Leslie Laoui, Partner Account Manager de Mailinblack
Une idée fausse, rappelle Cyril Bras :
« Les attaques ne sont plus ciblées à la main. Ce sont des campagnes automatisées, massives, qui balayent le web à la recherche de la moindre faille. Peu importe votre taille : si vous êtes connectés, vous êtes exposés. »
Et dans les faits, les cybercriminels n’ont pas besoin de viser une entreprise spécifique. Ils exploitent une faille connue, un mot de passe faible, une application non mise à jour… et attendent que la porte s’ouvre.
L’humain, premier vecteur de vulnérabilité
« Neuf vulnérabilités sur dix viennent de l’humain », rappelle Leslie Laoui. Oubli de mise à jour, clic sur un lien frauduleux, partage d’un mot de passe… Les erreurs du quotidien suffisent à compromettre un système entier.
Leslie Laoui, Partner Account Manager de Mailinblack et Cyril Bras, Directeur Cybersécurité de Whaller
« La sécurité commence dans la tête », résume Cyril Bras, parlant d’un « antivirus cérébral ». Il ne s’agit pas de transformer les salariés en experts cyber, mais de leur donner les bons réflexes.
Le mot de passe : talon d’Achille numérique
“Le chalumeau numérique n’existe pas”, plaisante Cyril Bras, en référence au mythe du mot de passe inviolable. Le conseil est clair : un gestionnaire de mots de passe, un seul mot de passe maître fort et unique, et jamais d’enregistrement dans le navigateur. Chaque mot de passe réutilisé est une porte ouverte — et le Dark Web en regorge.
Sauvegarder, mais intelligemment
Sauvegarder ne veut rien dire si la restauration est impossible. « Une vraie sauvegarde, c’est une sauvegarde testée », insiste Cyril Bras. Pas une simple copie sur un disque dur oublié, mais une stratégie chiffrée, fragmentée, et régulièrement vérifiée.
Cloud, souveraineté et bon sens
Le Cloud est devenu le cœur du système d’information des PME. Mais pas tous les clouds se valent. « Avant de choisir un prestataire, posez-vous cette question : combien me coûterait une cyberattaque ? » recommande Cyril Bras.
La souveraineté devient ici un enjeu concret. Un Cloud souverain, conforme SecNumCloud, garantit l’immunité juridique face au Cloud Act américain et une meilleure maîtrise des données.
Dũng Ly, Directeur Général d’Ikoula
Et pour Dũng Ly, il faut aussi penser local :
« Négocier avec un acteur européen ou régional, c’est maintenir une chaîne de valeur maîtrisée et une réactivité réelle en cas d’incident. »
Gouvernance : anticiper, tester, corriger
Pour Anthony Duplantier, la gouvernance est le premier pilier d’une stratégie cyber.
« Anticiper, c’est sensibiliser les collaborateurs, documenter les procédures et tester les sauvegardes. Sans ça, le jour où l’attaque survient, c’est la panique. »
Dũng Ly, Directeur Général d’Ikoula et Anthony Duplantier, Fondateur d’Holirisk et RSSI de la Mutuelle des Motards
Il cite les méthodes simples d’évaluation des risques proposées par l’ANSSI (EBIOS Risk Manager) ou le CLUSIF, adaptées aux petites structures : identifier les activités critiques, mesurer les impacts, prévoir les scénarios et se préparer.
Cyril Bras complète :
« Trop souvent, les entreprises installent un antivirus, mais ne font jamais les mises à jour. C’est comme verrouiller sa porte et laisser la clé dessus. »
L’effet domino : sous-traitants, prestataires, chaînes d’approvisionnement
Les attaques par la supply chain explosent. « Ce sont souvent les prestataires qui se font attaquer en premier », note Anthony Duplantier.
« C’est pourquoi la clause d’audit dans les contrats devient indispensable. »
Une précaution partagée par Cyril Bras :
« Un MSP (prestataire informatique) peut gérer vos outils, mais pas votre cybersécurité. »
Le rôle des dirigeants : gouverner, pas déléguer
La cybersécurité ne peut plus être « l’affaire du service informatique ». Elle relève d’une véritable gouvernance d’entreprise, qui commence par la sensibilisation des équipes et la clarification des responsabilités.
« La cyber doit rester en dehors de la DSI pour être son poil à gratter », glisse Cyril Bras.
« Un regard extérieur, indépendant, qui vérifie que les mesures sont réellement appliquées. »
La cybersécurité, un investissement de bon sens
En clôture, un consensus : la cyber ne coûte pas cher, c’est l’absence de cyber qui coûte. Mots de passe faibles, logiciels obsolètes, sauvegardes inopérantes, absence de PSSI : chaque négligence est une faille potentielle.
Le message des experts est limpide :
« On ne choisit pas quand on sera attaqué. Mais on peut choisir d’être prêt. »
La cybersécurité n’est pas qu’une question de technologie, mais de culture. Et comme le rappelle Cyril Bras, « la taille d’une entreprise n’a jamais été un critère d’immunité ».
Pour les dirigeants de PME, le premier geste à adopter est simple : prendre le sujet à bras-le-corps : former, anticiper, gouverner.
Et surtout, ne jamais croire qu’on est trop petit pour être une cible…
0 commentaires