La cybersécurité au sein des PME belges

L’importance de la cybersécurité

Les PME s’engagent dans un mode de fonctionnement de plus en plus numérisé : e-commerce, réseaux sociaux, facturation électronique, site web, analyse de données massives, stockage des informations dans le cloud, e-mails, etc. sont des dispositifs dont l’usage s’étend d’année en année au sein du monde de l’entreprise.

La transition numérique ne doit toutefois pas s’effectuer sans tenir compte des risques qui y sont intrinsèquement liés. L’essor du numérique a entrainé une recrudescence des actes malveillants envers les dispositifs informatiques utilisés par les entreprises. La sécurité informatique et la protection des données représentent dès lors un nouvel enjeu pour les entreprises.

Les conséquences de cyberattaques peuvent varier selon l’objectif poursuivi par les criminels :

• fuites de données privées plus ou moins sensibles,
• vol d’informations commerciales ou de propriété intellectuelle,
• indisponibilité de l’outil de travail et sites web pendant une période déterminée,
• demande de rançon, etc.

Ce type d’incidents peut entrainer un préjudice financier substantiel et conduire à un déficit d’image pour l’entreprise.

La cybersécurité et les PME

Dans son étude « The Digital Transformation of SMEs, OECD Studies on SMEs and Entrepreneurship » (2021), l’OCDE se penche sur la transformation numérique des PME, y compris leur degré de sécurité informatique. Bien qu’accusant encore un retard en matière d’adoption de technologies numériques, les PME s’engagent résolument dans la transition numérique. Leurs contacts étroits avec des entreprises de plus grande taille en tant que clientes, fournisseurs ou sous-traitants, combinés à leur plus faible degré de protection numérique, les rendent dès lors particulièrement vulnérables, y compris celles qui ne traitent pas directement de données sensibles. Elles peuvent en effet servir de point d’entrée idéal pour atteindre les réseaux de grandes entreprises ou d’autorités publiques.

Par ailleurs, toujours cette étude réalisée par l’OCDE, une cyberattaque couronnée de succès impacte généralement plus lourdement les entreprises de plus petite taille que les grandes entreprises, ces dernières disposant de plus de ressources pour compenser les pertes financières occasionnées par un arrêt d’activité momentané ou pour faire face à une perte de crédibilité.

Il est donc crucial pour les entreprises, en particulier les PME, de prendre la mesure des risques liés à la digitalisation et de mettre en place les mesures de sécurité adéquates pour y faire face, dès le début de la transition numérique.

Le SPF Economie a publié plusieurs guides à destination des entreprises permettant de les aider à prévenir les tentatives d’intrusion sur leur réseau informatique.

Mesures de sécurité informatique

Plus de 95 % des PME occupant plus de 10 travailleurs appliquent au moins une mesure de sécurité informatique. Seules 84,3 %  des micro-entreprises (de 2 à 9 travailleurs) indiquent avoir recours à des mesures de sécurité. Cela signifie que 15% des micro-entreprises déclarent ne mettre en œuvre aucune sorte de mesure de sécurité numérique. Néanmoins, cela représente une progression significative par rapport à 2019, où seules 78 % des micro-entreprises mettaient en place des mesures de sécurité informatique.

De multiples initiatives peuvent et doivent être prises afin d’assurer une protection numérique de l’entreprise. Sans ambition d’exhaustivité, citons :

• Le contrôle d’accès au réseau : il s’agit d’une méthode permettant d’empêcher les utilisateurs et terminaux non autorisés d’accéder à un réseau privé. Les entreprises qui permettent à certains terminaux et utilisateurs externes à l’entreprise d’accéder au réseau à titre occasionnel peuvent par exemple avoir recours au contrôle d’accès réseau pour s’assurer que lesdits terminaux respectent les réglementations de conformité de l’entreprise en matière de sécurité.
• La sauvegarde de données : celle-ci inclut la gestion des back-up et des points de restauration, la sauvegarde d’informations notamment dans le cloud et la réalisation de tests réguliers pour vérifier la qualité du processus défini.
• L’utilisation de mots de passe sécurisés : ceux-ci doivent être suffisamment longs et inclure des majuscules, minuscules, caractères spéciaux et chiffres. Pour davantage de sécurité, ils doivent aussi être régulièrement modifiés et ne pas être réutilisés pour d’autres usages (privés). 
• La double authentification ou encore authentification à deux facteurs impose à un utilisateur de fournir deux preuves d'identité distinctes pour accéder à une ressource informatique.
• L’utilisation d’un virtual private network (VPN) pour les accès à distance.
• Le recours à des techniques de chiffrement ou cryptage : cette mesure permet de limiter la compréhension d’un document aux seules personnes qui disposent de la clé de chiffrement.
• L’authentification à l’aide de méthodes biométriques, par exemple les empreintes digitales ou la reconnaissance faciale.
• La réalisation régulière de tests de résilience opérationnelle des services informatiques permet d’identifier les risques susceptibles d’entraver la continuité des services essentiels.

En 2024, l’utilisation de mots de passe sécurisés, le contrôle d’accès au réseau et la sauvegarde de données sont les outils les plus fréquemment utilisés dans toutes les classes de taille d’entreprises.

L'authentification à double facteur est largement adoptée par les grandes PME, avec plus des trois quarts d'entre elles l'utilisant, tandis que moins de la moitié des entreprises de moins de 50 employés y ont recours.

Seules les entreprises de taille moyenne, occupant de 50 à 249 travailleurs sont plus de 80 % à avoir recours à un VPN (virtual private network).  

Les petites PME portent peu d’attention à l’évaluation des risques informatiques et à la réalisation de tests de sécurité, tandis que 70 % des plus grandes investissent dans cette approche de sécurisation de leur environnement informatique.  

Les techniques de chiffrement et l’authentification à l’aide de méthodes biométriques sont encore peu utilisées par les PME, quelle que soit leur classe de taille.

Mesures de sensibilisation du personnel aux obligations en matière de sécurité des TIC

Afin de limiter le risque d’incidents de sécurité, la conscientisation et la formation en amont du personnel de l’entreprise via divers canaux sont indispensables.

L’entreprise peut organiser des séances d’information pour les nouveaux employés, diffuser des rappels réguliers dans les messages internes (newsletter…) ou apporter son soutien à des campagnes de sensibilisation ad hoc. Il est également possible d’inclure des clauses spécifiques dans les contrats de travail. Pour finir, la formation continue des employés et/ou des responsables de la sécurité de l’information pour repérer et agir face aux techniques de piratage, e-mails suspects et autres menaces sans cesse évolutives, peut également se révéler déterminante pour assurer la sécurité numérique de l’entreprise.

En l’espace de deux ans, la sensibilisation du personnel à la sécurité informatique a progressé d’environ dix points de pourcentage dans l’ensemble des PME. En 2022, seules 34 % d’entre elles mettaient en place au moins une mesure de sensibilisation, contre 45 % d’entre elles en 2024.

Une analyse plus fine selon la taille de l’entreprise indique que 83 % des entreprises belges de taille moyenne (50 à 249 travailleurs) ont sensibilisé leur personnel en matière de sécurité informatique en 2024. Seulement 57 % des petites entreprises et 40 % des micro-entreprises en ont fait autant.

Dans la plupart des cas, la sensibilisation se limite à mettre des informations à disposition du personnel ou à leur offrir la possibilité d’assister à des formations facultatives. Des clauses inscrites dans les contrats de travail sont également une méthode auxquelles les PME ont recours pour sensibiliser leur personnel. La formation ou le visionnage obligatoires de vidéos d’information sont par contre peu répandus : 14 % des PME imposent à leur personnel de se former à la sécurité numérique.

Les incidents de sécurité : problèmes rencontrés et assurances

Problèmes rencontrés à la suite d’un incident de sécurité des TIC

Plus d’un quart (29 %) des PME belges de taille moyenne ont déjà rencontré un incident de sécurité informatique ayant provoqué selon les cas :

• une indisponibilité des services informatique (26,6 %) ;
• la destruction ou la corruption de données (4,9 %) ;
• la divulgation de données confidentielles (3,9 %).

Pour les micro-entreprises (2 à 9 travailleurs), plus d’une sur dix a déjà été confrontée à un incident de sécurité. En considérant l’ensemble des PME, ce taux atteint 15 %.

Assurance contre les incidents de sécurité des TIC

Une des manières de réduire les conséquences liées à des incidents de sécurité est de souscrire une assurance. Celle-ci peut en effet prendre en charge les pertes financières causées par un incident. En Belgique, seulement un quart (23,8 %) des PME de taille moyenne possèdent ce type d’assurance en 2022. Ce pourcentage retombe à 15,7 % pour les entreprises de 2 à 9 travailleurs.

L’enquête sur la sécurité des TIC dans les entreprises

Les données renseignées sur cette page sont issues de l’enquête sur la sécurité des TIC dans les entreprises, un sous-module de l’enquête sur l’utilisation des TIC et de l’e-commerce dans les entreprises, réalisée annuellement par Statbel, la Direction générale Statistique du SPF Economie. En tant qu’office belge de statistique, Statbel collecte, produit et diffuse des chiffres sur l'économie, la société et le territoire belges.

L’échantillon se limite aux entreprises qui emploient au minimum 2 travailleurs. L’ensemble des secteurs d’activité économiques sont analysés à l’exception de l’agriculture, l’administration publique, les activités des ménages en tant qu’employeurs et les activités extraterritoriales (respectivement les sections A, O, T et U selon le code NACE rév. 2.). Les données relatives aux micro-entreprises concernent donc des entreprises de 2 à 9 travailleurs pour cette section spécifique.