Table of Contents
L’importance de la cybersécurité
Les PME s’engagent dans un mode de fonctionnement de plus en plus numérisé : e-commerce, réseaux sociaux, facturation électronique, site web, analyse de données massives, stockage des informations dans le cloud, e-mails, etc. sont des dispositifs dont l’usage s’étend d’année en année au sein du monde de l’entreprise.
La transition numérique ne doit toutefois pas s’effectuer sans tenir compte des risques qui y sont intrinsèquement liés. L’essor du numérique a entrainé une recrudescence des actes malveillants envers les dispositifs informatiques utilisés par les entreprises. La sécurité informatique et la protection des données représentent dès lors un nouvel enjeu pour les entreprises.
Les conséquences de cyberattaques peuvent varier selon l’objectif poursuivi par les criminels :
- fuites de données privées plus ou moins sensibles,
- vol d’informations commerciales ou de propriété intellectuelle,
- indisponibilité de l’outil de travail et sites web pendant une période déterminée,
- demande de rançon, etc.
Ce type d’incidents peut entrainer un préjudice financier substantiel et conduire à un déficit d’image pour l’entreprise.
La cybersécurité et les PME
Dans son étude « The Digital Transformation of SMEs, OECD Studies on SMEs and Entrepreneurship » (2021), l’OCDE se penche sur la transformation numérique des PME, y compris leur degré de sécurité informatique. Bien qu’accusant encore un retard en matière d’adoption de technologies numériques, les PME s’engagent résolument dans la transition numérique. Leurs contacts étroits avec des entreprises de plus grande taille en tant que clientes, fournisseurs ou sous-traitants, combinés à leur plus faible degré de protection numérique, les rendent dès lors particulièrement vulnérables, y compris celles qui ne traitent pas directement de données sensibles. Elles peuvent en effet servir de point d’entrée idéal pour atteindre les réseaux de grandes entreprises ou d’autorités publiques.
Par ailleurs, toujours cette étude réalisée par l’OCDE, une cyberattaque couronnée de succès impacte généralement plus lourdement les entreprises de plus petite taille que les grandes entreprises, ces dernières disposant de plus de ressources pour compenser les pertes financières occasionnées par un arrêt d’activité momentané ou pour faire face à une perte de crédibilité.
Il est donc crucial pour les entreprises, en particulier les PME, de prendre la mesure des risques liés à la digitalisation et de mettre en place les mesures de sécurité adéquates pour y faire face, dès le début de la transition numérique.
Le SPF Economie a publié plusieurs guides à destination des entreprises permettant de les aider à prévenir les tentatives d’intrusion sur leur réseau informatique.
Mesures de sécurité informatique
Plus de neuf PME sur dix occupant plus de 10 travailleurs appliquent au moins une mesure de sécurité informatique. Seules 78,9 % des micro-entreprises (de 2 à 9 travailleurs) indiquent avoir recours à des mesures de sécurité. Cela signifie que près d’une micro-entreprise sur quatre déclare ne mettre en œuvre aucune sorte de mesure de sécurité numérique.
De multiples initiatives peuvent et doivent être prises afin d’assurer une protection numérique de l’entreprise. Sans ambition d’exhaustivité, citons :
- Le contrôle d’accès au réseau est une méthode permettant d’empêcher les utilisateurs et terminaux non autorisés d’accéder à un réseau privé. Les entreprises qui permettent à certains terminaux et utilisateurs externes à l’entreprise d’accéder au réseau à titre occasionnel peuvent par exemple avoir recours au contrôle d’accès réseau pour s’assurer que lesdits terminaux respectent les réglementations de conformité de l’entreprise en matière de sécurité.
- La sauvegarde de données : celle-ci inclut la gestion des back-up et des points de restauration, la sauvegarde d’informations notamment dans le cloud et la réalisation de tests réguliers pour vérifier la qualité du processus défini.
- L’utilisation de mots de passe sécurisés : ceux-ci doivent être suffisamment longs et inclure des majuscules, minuscules, caractères spéciaux et chiffres. Pour davantage de sécurité, ils doivent aussi être régulièrement modifiés et ne pas être réutilisés pour d’autres usages (privés).
- L’utilisation d’un virtual private network (VPN) pour les accès à distance.
- Le recours à des techniques de chiffrement ou cryptage : cette mesure permet de limiter la compréhension d’un document aux seules personnes qui disposent de la clé de chiffrement.
- L’authentification à l’aide de méthodes biométriques, par exemple les empreintes digitales ou la reconnaissance faciale.
Le contrôle d’accès au réseau, la sauvegarde de données et l’utilisation de mots de passe sécurisés sont les outils les plus fréquemment utilisés dans toutes les classes de taille d’entreprises.
Seules les entreprises de taille moyenne, occupant de 50 à 249 travailleurs sont plus de 60 % à avoir recours à un VPN (virtual private network) ou à une évaluation des risques informatiques.
Les techniques de chiffrement et l’authentification à l’aide de méthodes biométriques sont encore peu utilisées par les PME.
Mesures de sensibilisation du personnel aux obligations en matière de sécurité des TIC
Afin de limiter le risque d’incidents de sécurité, la conscientisation et la formation en amont du personnel de l’entreprise via divers canaux sont indispensables.
L’entreprise peut organiser des séances d’information pour les nouveaux employés, diffuser des rappels réguliers dans les messages internes (newsletter…) ou apporter son soutien à des campagnes de sensibilisation ad hoc. Il est également possible d’inclure des clauses spécifiques dans les contrats de travail. Pour finir, la formation continue des employés et/ou des responsables de la sécurité de l’information pour repérer et agir face aux techniques de piratage, e-mails suspects et autres menaces sans cesse évolutives, peut également se révéler déterminante pour assurer la sécurité numérique de l’entreprise.
En 2022, les trois quarts des entreprises belges de taille moyenne (50 à 249 travailleurs) ont sensibilisé leur personnel en matière de sécurité informatique. Seulement la moitié des petites entreprises et un tiers des micro-entreprises en ont fait autant. Dans la plupart des cas, la sensibilisation se limite à mettre des informations à disposition du personnel ou à leur offrir la possibilité d’assister à des formations facultatives. Des clauses inscrites dans les contrats de travail sont également une méthode auxquelles les PME ont recours pour sensibiliser leur personnel. La formation ou le visionnage obligatoires de vidéos d’information sont par contre peu répandus : seulement un tiers des entreprises de taille moyenne, 16 % des petites entreprises et moins de 10 % des micro-entreprises imposent à leur personnel de se former à la sécurité numérique.
Assurance contre les incidents de sécurité des TIC
Une des manières de réduire les conséquences liées à des incidents de sécurité est de souscrire une assurance. Celle-ci peut en effet prendre en charge les pertes financières causées par un incident. En Belgique, seulement un quart (23,8 %) des PME de taille moyenne possèdent ce type d’assurance. Ce pourcentage retombe à 15,7 % pour les entreprises de 2 à 9 travailleurs.
Problèmes rencontrés à la suite d’un incident de sécurité des TIC
Plus d’un quart (31,8 %) des PME belges de taille moyenne ont déjà rencontré un incident de sécurité informatique ayant provoqué selon les cas :
- une indisponibilité des services informatique (29,7 %) ;
- la destruction ou la corruption de données (3,6 %) ;
- la divulgation de données confidentielles (2,4 %).
Pour les micro-entreprises (2 à 9 travailleurs), plus d’une sur dix a déjà été confrontée à un incident de sécurité.
L’enquête sur la sécurité des TIC dans les entreprises
Les données renseignées sur cette page sont issues de l’enquête sur la sécurité des TIC dans les entreprises, un sous-module de l’enquête sur l’utilisation des TIC et de l’e-commerce dans les entreprises, réalisée annuellement par Statbel, la Direction générale Statistique du SPF Economie. En tant qu’office belge de statistique, Statbel collecte, produit et diffuse des chiffres sur l'économie, la société et le territoire belges.
L’échantillon se limite aux entreprises qui emploient au minimum 2 travailleurs. L’ensemble des secteurs d’activité économiques sont analysés à l’exception de l’agriculture, l’administration publique, les activités des ménages en tant qu’employeurs et les activités extraterritoriales (respectivement les sections A, O, T et U selon le code NACE rév. 2.). Les données relatives aux micro-entreprises concernent donc des entreprises de 2 à 9 travailleurs pour cette section spécifique.