Plus tôt cette année, Hyundai Europe a été victime d’une violation de sécurité, compromettant quelques 3 TB de données de sa division basée en Allemagne. Cette attaque a fait les gros titres, venant s’ajouter à une liste croissante d’incidents numériques frappant l’industrie automobile ces dernières années. En 2023, BMW et Volkswagen ont signalé être victimes de cyberattaques ou d’incidents numériques. En 2022, Toyota au Japon a interrompu la production de près de 13 000 véhicules suite à une attaque chez l’un de ses fournisseurs. En 2021, Kia a arrêté sa production à cause d’un rançongiciel, et Volvo a déclaré le vol de données de R-D. Aucun acteur ne semble à l’abri: près des deux tiers des dirigeants de l’industrie automobile estiment que leur chaîne d’approvisionnement est vulnérable.
Fermez la porte derrière vous…
Le coût mondial des cyberattaques s’élève chaque année à 6 000 milliards USD et est en constante progression. Ces menaces peuvent être désastreuses pour toutes les entreprises, et en particulier pour les petites firmes. Le coût médian d’une attaque par rançongiciel peut atteindre 1,2 million USD, et voire même s’élever à 1,6 million USD en cas de violation de données informatiques. Il est donc urgent d’agir pour aider les PME à mieux se préparer dans la gestion des risques liés à leur sécurité numérique.
Pendant la pandémie, 70 % des PME se sont tournées vers le commerce en ligne, le télétravail ou les solutions de travail intelligent. Certains acteurs malveillants y ont vu de nouvelles opportunités d’exploiter ces applications web, appareils et systèmes souvent mis en place à la va-vite. En 2020, le FBI a ainsi reçu un nombre record de plaintes en hausse de 69 % par rapport à l’année précédente. Les attaques sur la chaîne d’approvisionnement ont quadruplé en Europe entre 2020 et 2021, environ 62 % des attaques sur les clients profitant de leur confiance en leur fournisseur. En Autriche, 60 % des entreprises ont déclaré avoir été victimes d’au moins une cyberattaque en 2021, tandis qu’en Allemagne, les dommages économiques liés à la cybercriminalité ont plus que doublé entre 2019 et 2021 pour atteindre 220 milliards EUR.
Les PME sont en retard dans l’adoption de pratiques de sécurité sophistiquées par rapport aux grandes entreprises
Pourcentage d’entreprises mettant en œuvre des mesures de sécurité numérique des TIC, par type de mesure et par entreprise (2022)
Source: The Digital Transformation of SMEs – © OECD 2021, mise à jour à partir d’Eurostat (2023), Incidents TIC liés à la sécurité et conséquences, par classe de taille d’entreprise, DOI: 10.2908/isoc_cisce_ra (consultées 15 Mars 2024).
De grandes entreprises comme Hyundai, BMW ou Toyota – disposant de plus de données et de ressources financières – sont clairement des cibles plus attrayantes. Avec des niveaux de numérisation plus faibles, une surface d’attaque plus petite et moins de données pour attirer la convoitise des criminels, on pourrait penser que les PME passeraient sous le radar.
Cependant, à mesure que leur adoption d’outils numériques s’accélère, de nombreuses petites entreprises ouvrent de nouvelles brèches et offrent de nouvelles opportunités pour les pirates de s’engouffrer. Là où les grandes entreprises peuvent se doter de défenses plus sophistiquées et plus personnalisées (rendant ainsi les attaques plus difficiles et coûteuses), de nombreuses PME peuvent être victimes d’attaques bon marché et réplicables. De plus, la cybercriminalité est désormais à la portée des amateurs qui achètent des rançongiciels “en tant que service” en ligne pour extorquer de plus petites sommes à de plus petites victimes à moindre risque.
Mais les pirates les plus ambitieux ont découvert que les PME peuvent aussi servir de porte d’entrée vers les grandes entreprises, jouant ainsi un rôle de maillon faible dans leurs chaînes de valeur. Le secteur automobile est particulièrement vulnérable en raison de chaînes d’approvisionnement longues, complexes et interconnectées, avec des niveaux variables de cybersécurité. En octobre 2021, le fournisseur automobile allemand Eberspächer a par exemple subi une attaque qui a paralysé l’ensemble de ses systèmes informatiques pendant plusieurs jours. Les criminels ont également paralysé Pilz et Schmersal, deux spécialistes de l’automatisation automobile, et ciblent de plus en plus les petites entreprises qui fournissent des composants spéciaux pour perturber la production
Protéger les données
Quel que soit leur secteur d’activité, les PME doivent impérativement passer à la vitesse supérieure dans la gestion des risques de cybersécurité et dans la défense de leurs données. Une première étape consiste à améliorer la gouvernance des données et à sensibiliser les PME aux risques de l’absence de sécurité numérique. La formation en entreprise est également essentielle car les employés eux-mêmes sont de plus en plus souvent à l’origine de problèmes de cybersécurité, souvent par accident. Au sein des pays de l’UE27, en moyenne 54% des PME ont sensibilisé leurs employés à leurs obligations en matière de sécurité numérique, contre 91% des grandes entreprises.
De nombreux gouvernements aident les PME à lutter contre la menace. En Allemagne, le Bureau de Transfert de Sécurité Informatique pour les PME favorise le transfert de connaissances et de technologies en matière de sécurité informatique, ainsi que la mise en œuvre de mesures et de campagnes de sensibilisation. Au Costa Rica, les Smart Community Centres ont quant à eux opté pour une approche pratique en proposant aux PME des cours d’introduction à la cybersécurité ainsi que sur les statistiques, le big data, l’intelligence artificielle et l’internet des objets (IdO).
Les gouvernements collaborent aussi avec les entreprises technologiques pour améliorer la sécurité numérique de façon générale. Cela comprend le développement de solutions commerciales spécifiques aux PME, ainsi que des mesures visant à améliorer les protocoles de sécurité de leurs produits et services. L’Australie a investi 1,67 milliard AUD dans sa Stratégie de Cybersécurité 2020 pour aider les entreprises à sécuriser leurs produits et services, et à protéger leurs clients contre les cybermenaces connues à ce jour. En 2021, la Suède a accordé des subventions à des consortiums pour concevoir des solutions de cybersécurité dans le cadre de l’élaboration de nouveaux produits et services sur le territoire national.
Des mécanismes de coopération efficaces, couplés à de solides canaux de communication, sont également cruciaux pour l’identification des menaces émergentes et y apporter des réponses adéquates. Les réseaux inter-industries, au sein desquels les PME et les grandes entreprises partagent les mêmes modèles d’affaires, et les réseaux inter-juridictionnels pour lutter contre les attaques sans frontière sont de plus en plus importants. En Allemagne, l’Office Fédéral de la Sécurité de l’Information (BSI) cherche ainsi à renforcer la résilience de ces réseaux par le partage de connaissances et d’expériences entre entreprises et prestataires de services en sécurité numérique, avec pour leitmotiv “Les réseaux protègent les réseaux”.
La lutte contre la cybercriminalité est, en définitive, en train de s’intensifier. À mesure que les données sont de plus en plus vitales aux modèles commerciaux des PME (“la connaissance client”), à leurs chaînes d’approvisionnement (“la production à flux tendu”) et à leurs processus de production (“l’automatisation”), leur valeur n’a de cesse d’augmenter aux yeux d’acteurs malveillants qui disposent d’outils, de compétences et de techniques de plus en plus sophistiqués et de moins en moins coûteux. Les PME doivent donc prendre le problème à bras-le-corps avec des mesures urgentes, et collaborer avec les gouvernements et la communauté technologique pour assurer leur protection ainsi que celle de leurs clients et de leurs chaînes d’approvisionnement.
La Recommandation de l’OCDE sur la Gestion du Risque de Sécurité Numérique fournit des orientations pour une nouvelle génération de politiques visant à optimiser l’ouverture des entreprise aux sujets du numérique et à la gestion des risques de sécurité y afférant. Ce document suggère aussi un leadership au plus haut niveau au sein des gouvernements et organisations internationales afin de souligner toute l’importance de donner aux PME les moyens de gérer elles-mêmes leur sécurité numérique.
Si vous souhaitez en savoir plus sur la sécurité numérique des PME, ainsi que sur les tendances émergentes et les politiques adéquates, nous vous invitons à consulter La Transformation Digitale des PME et Les Perspectives de l’OCDE pour les PME et l’Entrepreneuriat 2021 et Les Perspectives de l’OCDE pour les PME et l’Entrepreneuriat 2023. De plus, ne manquez pas le rapport sur comment Transformer les Données en Modèles d’Affaires. Aider les PME à Croître qui aborde la question de la gouvernance des données dans les PME.
Sandrine Kergroach is Head of SME and Entrepreneurship Performance, Policies and Mainstreaming unit at the OECD Centre for Entrepreneurship, SMEs, Regions and Cities (CFE). She leads the work on innovation, internationalisation and the scaling up of SMEs and start-ups, their productivity and ESG performance. She supervises activities related to policy monitoring, the development of data infrastructure and the OECD SME and Entrepreneurship Outlook. She also leads efforts for mainstreaming SME&E policy considerations. Sandrine holds a Doctorate in Economics (TU Berlin), a Master in Strategy and Management (Paris Dauphine-PSL), a Master in Modern History (Paris Sorbonne) and a Bachelor in Applied Economics and Statistics (Paris Dauphine-PSL).
Stefan Becker joined the Federal Office for Infomation Security (BSI) as Head of Section, Cyber Security for the Private Sector in May 2017. He started his career at the criminal police in Bonn in 1994. With the creation of the Cybercrime Competence Centre he moved on to the Landeskriminalamt Nordrhein-Westfalen in 2011. Stefan Becker holds a degree in public administration as well as an MBA with a specialisation in Risk and Fraud Management.
Laurent Bernat is a policy analyst at the OECD Secretariat in the Digital Economy Policy Division. He supports the Working Party on Security in the Digital Economy (SDE), under the Committee on Digital Economy Policy (CDEP), as well as the OECD Global Forum on Digital Security for Prosperity. He led the development of the OECD Recommendations on Digital Security Risk Management for Economic and on Social Prosperity (2015) and on Digital Security of Critical Activities (2019). Currently, he coordinates policy work on the digital security of products, vulnerability treatment, “responsible response” by private actors, and the security of communication networks. Laurent worked on many different trust-related policy issues including national cybersecurity strategies, digital identity management, RFID, cryptography policy and the protection of children online. Prior to joining the OECD in 2003, he worked at the French data protection agency, the Commission nationale de l'informatique et des libertés (CNIL) and was associate director in an Internet consulting firm. Laurent BERNAT has a master in political science and international relations.