CyberCape : une offre de cybersécurité pensée pour les PME

Le risque cyber est pour les entreprises une menace majeure. Pourtant, l’immense majorité d’entre elles, les PME, semble démunie face à ce danger. Pour le CEO et cofondateur de CyberCape Bruno Dambrun, cela s’explique bien sûr par un déficit de conscience vis-à-vis de cette menace, mais également par un manque de propositions compatibles avec les réalités que vivent les PME.

Que représente le risque Cyber pour les PME ?

B.D. : « Aujourd’hui, les PME pèsent pour 30% du PIB français, tout en représentant 80% des cyberattaques. Le risque est donc majeur, et les conséquences peuvent être dramatiques. Or, la majorité des dirigeants de PME, mais aussi de TPE et les micro-entrepreneurs estiment encore qu’ils ne sont pas concernés, que les cyberattaques visent en priorité les grands groupes ; alors même que le dernier bulletin de l’ANSSI souligne que la France fait face à une vague d’attaques massives et totalement désinhibées en provenance de Russie qui ont pour seul but d’affaiblir le tissu économique français dont les PME sont la pierre angulaire.

Face à cela, les dirigeants de PME, par méconnaissance et incompréhension du sujet minimisent le risque cyber, jusqu’au moment où il est trop tard. Car les cyberattaques ne se limitent pas aux ransomwares, désormais connus, ou au vol de données. Un hacker peut par exemple s’introduire dans un système pour, au moment le plus opportun, détourner des règlements de factures, ou émettre des factures au nom de l’entreprise vers ses fournisseurs et en encaisser les paiements. Le préjudice est alors financier, mais aussi opérationnel en mettant à mal des équipements cruciaux pour les entreprises ─ les systèmes informatiques bien sûr, mais plus prosaïquement la caisse d’un commerçant de proximité ─ et leur image même.

De plus, les vecteurs d’attaques sont aujourd’hui multiples : un mail, mais aussi un réseau Wifi ou encore un objet connecté sont autant de portes d’entrées pour les hackers ; et l’évolution des modes de travail, avec le nomadisme et la généralisation du télétravail créé encore davantage de vulnérabilités. Les PME et leurs dirigeants doivent avoir conscience du caractère protéiforme de la menace et, surtout, du fait qu’elle peut venir de partout. Nous avons par exemple récemment dû traiter le cas d’un client ayant subi une attaque qui trouvait son origine dans ses échanges avec son expert-comptable : la page d’accueil de ce dernier était certes sécurisée, mais pas l’interface d’échange privée avec ses clients… »

Vous dressez un tableau très sombre de la situation…

B.D. : « Parce qu’il l’est, et c’est pour cette raison qu’est née CyberCape. En tant que MSSP (Managed Security Service Provider), nous avons mis en place une approche globale, en plusieurs strates successives, pensée pour les PME. L’un de nos premiers principes est ainsi de nous mettre à la hauteur de nos clients, qui disposent rarement des connaissances techniques (un chef d’entreprise n’est pas un DSI) et de leur tenir un langage accessible, sans jargon. Et, parce que l’humain est dans plus de 80% des cas le premier point de vulnérabilité, CyberCape effectue dans un premier temps un important travail de formation aux bonnes pratiques d’hygiène numérique : déterminer si un mail est suspect, ne pas cliquer dessus, utiliser des coffres-forts virtuels et des générateurs de mots de passe, etc.

Nous réalisons également des audits, en nous appuyant sur les questionnaires de l’ANSSI d’abord, puis grâce à des outils développés en propre pour aller plus loin. Nous examinons ensuite l’écosystème de l’entreprise, ses clients, fournisseurs et partenaires pour identifier les assets vulnérables. À l’issue de cette cartographie de la surface d’attaque, nous pouvons identifier les points les plus à risque pour l’entreprise, tant du point de vue strictement cyber qu’opérationnel, et ainsi éviter des attaques type usurpation. Cet audit permet également de faire évoluer les outils et process utilisés par les entreprises, et donc de réduire les probabilités d’attaque tout en favorisant la résilience des systèmes. L’analyse de la situation à 360° nous permet de déterminer les solutions de sécurisation et de sauvegarde des données les plus adaptées, et de mettre l’entreprise en conformité RGPD le cas échéant.

Enfin, CyberCape propose des services de remédiation en cas d’attaque détectée, pour la parer ou en minimiser l’impact. L’objectif restant toujours le maintien ou la restauration rapide de l’activité de l’entreprise. »

Cela représente tout de même un coût pour une PME ?

B.D. : « Il est à mes yeux nécessaire de changer de paradigme vis-à-vis de la cybersécurité, et de l’envisager comme un investissement et non une charge. Car, en plus de protéger l’entreprise d’un risque potentiellement fatal ─ rappelons que plus de 75% des PME connaissent un dépôt de bilan dans les six mois suivant une cyberattaque réussie ─, la cyber participe à une meilleure valorisation de l’entreprise, lui permettant par exemple de conquérir des marchés sur lesquels elle est indispensable.

De plus, le cyber est une nécessité pour envisager une ouverture à l’international, migrer vers le cloud, déployer l’IA… La cyber est en réalité un relais de croissance, et le ROI est très vite tangible. Bien sûr, il est impossible d’éviter toutes les attaques, et l’objectif est d’apporter un niveau de sécurité suffisant pour décourager des hackers, qui se tourneront en toute logique vers des cibles plus faciles. Mais l’objectif final doit à mes yeux être la « cybersécurité collective ». »

Qu’entendez-vous par sécurité collective ?

B.D. : « Cette notion est, je crois clé. À l’instar d’une couverture vaccinale qui créé une immunité collective, la généralisation des bonnes pratiques en matière de cybersécurité peut, à terme, nous prémunir d’une large partie d’une menace conséquente. Je rappelle que le « chiffre d’affaires » réalisé par les cybercriminels est de plus de 6 000 milliards de dollars dans le monde, dont 150 en France. C’est pourquoi CyberCape, en plus d’accords conclus avec des partenaires comme In Extenso, intervient dans plusieurs écoles de commerce, d’ingénieurs ou d’IEP, pour former les cadres de demain à l’hygiène numérique.

Nous avons également conclu un accord avec l’IUT de la Rochelle, pour former leurs étudiants et que ces derniers réalisent des diagnostics dans les entreprises ─ sous notre supervision bien sûr. Les entreprises n’ont qu’à reverser à l’IUT le montant de la taxe d’apprentissage. Pour cela, nous avons abondamment communiqué, via le Medef, la CPME, la BNI…et je suis inquiet du faible nombre de réponses reçues, qui prouve le manque de prise de conscience. J’estime qu’il serait d’ailleurs légitime que le législateur se saisisse de cette question, et impose, par exemple, une obligation de formation des partenaires des entreprises (avocats, experts-comptables…) et des dirigeants aux risques cyber et à l’hygiène numérique. Car si le déploiement de solutions de cybersécurité doit bien sûr rester à la discrétion des chefs d’entreprise, il est indispensable que tout le monde ait conscience de cette menace. »