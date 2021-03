Baromètre OZON 2021 : Les failles de sécurité Internet, la voie facile des hackers pour pirater les PME

mars 2021 par OZON

Internet reste la porte d’entrée n°1 des cybercriminels pour pirater les PME, d’après une étude inédite réalisée auprès de 23 000 PME sur janvier et février 2021 par OZON en partenariat avec WALLIX, Docaposte Arkhineo, Visiativ, Swiss Re Corporate Solutions et Croissanceplus.

Au cours des dernières années, les grandes entreprises ont déployé des moyens considérables pour assurer leur cybersécurité. La tâche des hackers devenant plus ardue, ils se tournent de plus en plus vers les petites et moyennes entreprises : moins préparées, elles sont des proies faciles pour les cybercriminels.

Plusieurs raisons expliquent que les PME sont plus vulnérables et exposées. Tout d’abord, le fait que les PME pensent que seules les grandes entreprises sont visées par les cyberattaques, et soient attrayantes pour les hackers. Deuxième raison, l’absence de moyens financiers et humains, consacrés à la cybersécurité : une PME consacre en priorité ses ressources à son cœur de métier : vente, production, service au client et embaucher un responsable de la sécurité informatique passe au second plan. Enfin, les modes de fonctionnement des PME sont moins formels ce qui implique davantage de risques : partage de mots de passe entre collaborateurs, absence de procédure restreignant l’accès de données sensibles. Le déploiement accéléré et parfois anarchique du télétravail ces derniers mois a également renforcé les risques cyber.

Cette étude démontre le très haut niveau de vulnérabilité des PME, aggravé par les défauts de protection web (WAF) et emails. Les PME représentent des portes d’entrée, sans verrou, pour les hackers pouvant mener des actions malveillantes massives tels que des attaques web (intrusion, vol de données), des propagations de programmes malveillants (via site web ou email), ransomware - phishing (vol d’identifiants/mots de passe) - spear phishing (fraude au transfert de fond), vol de données (revente au marché noir). Pour une PME, l’impact financier moyen d’une cyberattaque est évalué à 160k€ (source : OZON et Swiss Re CorSo). Selon la gravité de l’attaque et le manque de mesures de protection, les PME peuvent être paralysées et subir alors des pertes considérables : chute du chiffre d’affaires, dégradation de la réputation, baisse de la clientèle, sanction réglementaire CNIL... Une cyberattaque peut mettre à l’arrêt toute l’activité de l’entreprise et lui faire déposer le bilan.

« Le très haut niveau de vulnérabilité constaté, accentué par des défauts de protection majeurs, rend crédible le scénario, connu de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, de paralysie de l’activité économique de la France par une cyberattaque ciblant simultanément 25 000 PME et organisations. » souligne Régis Rocroy, Fondateur d’OZON.

« Cette étude révèle de manière criante la vulnérabilité des PME françaises en matière de cybersécurité. Or, les PME ne pourront se développer dans les années qui viennent qu’en établissant un contexte de confiance numérique avec leurs clients et leurs partenaires. Ce renforcement de la cybersécurité pour les PME est donc bien un enjeu national. » déclare Thibaut Bechetoille, président de Croissance+ et codirigeant d’OZON.

Face à ce constat, OZON et ses partenaires ont souhaité démontrer l’extrême vulnérabilité du tissu économique vital que représentent les entreprises du secteur privé et du secteur public, avec un effectif de 10 à 250 employés. Pour réaliser cette étude technique inédite, l’équipe OZON a analysé, de façon automatique et en utilisant l’une de ses technologies, la surface d’attaque Internet de 22 627 PME et organisations soit 52 772 domaines Internet.

Principales conclusions :

1. Le secteur public est très vulnérable : avec un taux de 80%, à effectif équivalent, les organisations du secteur public sont plus vulnérables que les PME du secteur privé (70%)

2. Défaut de protection web : 95% des sites web ne sont pas protégés contre les cyberattaques applicatives spécifiques (XSS, SQLi...) ou exploitant des vulnérabilités logicielles connues (CVE)

3. Chaque site web contient 63 vulnérabilités logicielles CVE critiques (valeur médiane)

4. Protocole de sécurité HTTPS : 74% des composants SSL/TLS supportent des versions de protocole comportant des faiblesses et des vulnérabilités

5. Défaut de protection email : 96% des entreprises n’utilisent pas un service de filtrage sécurité email permettant de détecter / bloquer les cyber attaques de type malware, phishing et spear-phishing

6. E-Commerce : sur 1 508 sites eCommerce (avec CMS eCommerce détecté) : 79% des entreprises ne protègent pas leur site eCommerce avec un firewall applicatif web (WAF)

*(source : OZON)