photo par Valentin Jangwa

Philippe Maillard DG du Groupe Apave a introduit cette conférence en rappelant que la cybersécurité est devenue incontournable. L’enquête a été menée par le Groupe Apave, ITrust & Free Pro sous l’égide de la FFCyber sur un très large panel d’entreprises. Il a rappelé les missions d’Apave qui a récemment acquis Oppida un acteur historique de la cyber. Philippe Maillard a évoqué qu’il a plus de 210.000 PME clientes de ses services. Cette acquisition a permis à Apave de monter une division cyber qui dorénavant est accolée à ses domaines d’expertise. Afin d’affirmer son engagement, dans la cybersécurité Apave est aussi présente sur le Campus Cyber.

(c) Apave
Olivia Grégoire, Ministre déléguée chargée des Petites et Moyennes Entreprises, du Commerce, de l’Artisanat et du Tourisme a rappelé que les PME TPE doivent acheter des outils de défenses, contracter des assurances cyber et être sensibilisés à ces sujets. Elle a conclu son intervention par un jeu de mot : « Bercy
à l’envers cela fait cyber ! »

photo par Valentin Jangwa

Puis David Ofer, le président de la FFCyber a évoqué les missions de sa fédération qui œuvre rapidement pour contribuer à l’élévation du niveau de la cyber dans les TPE PME. L’enquête a été diffusée auprès de 100000 TPE/PME en France. Cette enquête permet d’avoir une image précise de l’état de la cyber dans les TPE/PME. Comme la Ministre l’a rappelé il faut des outils mais il est important que ces outils soit français de préférence. Il y a en France un environnement favorable avec des entreprises, des formations... dans la filière de la cyber. Il a déploré qu’il y ait actuellement si peu d’entreprises cyber sur le salon Vivatech. Par ailleurs, il a rappelé que les formations Assistants cyber reçoivent de très nombreuses candidatures ainsi pour la nouvelle formation 40 places sont ouverte et il y eu 750 candidats. C’est donc qu’il y a un intérêt pour la filière.

Denis Planat, DG de Free Pro, en préambule, a rappelé que la Ministre a fait voter une loi contre les mauvais influenceurs. Free historiquement s’adressait au grand public, 20 après sa création elle s’adresse via Free Pro aux professionnels grâce aux ouvertures technologiques comme la 5G, la fibre... 18 mois après l’ouverture de Free Pro, la société revendique déjà 35000 clients. Cette clientèle demande à Free Pro de lui apporter des offres en cybersécurité. Ainsi, elle a pris des parts dans ITrust afin de sensibiliser et apporter des solutions aux TPE/PME. Elle offre, aujourd’hui, de la proximité sectorielle, et des offre simples à comprendre et avec un prix abordable pour une TPE/PME. Pour lui, le marché doit être éveillé à la cyber. L’objectif est de faire payer moins cher la connectivité afin de mettre les budgets économisés dans la cybersécurité. Ainsi, elle a lancé une offre cyber dédiée.

(c) Apave
Harold Huillier Directeur délégué d’Apave Digital a présenté les résultats de l’enquête cyber. L’enquête a été réalisé sur un mois et a concerné plus de 100.000 TPE/PME en France. L’objectif était d’évaluer le niveau de maturité cyber et le comparer à celui des deux dernières années. Les entreprises ont répondu de façon déclarative et des filtres ont été mis en place pour ne retenir que 541 sociétés représentatives du panel. Parmi elles, on dénombre 55% ont un effectif entre 1 et 10 salariés, 27% de 11 à 50 salariés et 18% entre 50 et 250 salariés.

La première question concernait de savoir si une entreprise avait été ciblée par une cyberattaque. Ainsi, 21% des entreprises ont subi une attaque en 2022. Dans 66% des cas elles ont été attaquées par un ransomwares. Dans 11% des cas elles ont enduré un blocage de serveur et dans 19% des cas les attaques étaient plus diversifié comme par exemple le piratage de site web ou des systèmes informatique. Enfin, 4% des attaques concernaient des arnaques aux présidents.

Suite à ces incident différentes mesures ont été prise comme la sensibilisation, le déploiement d’outils de sécurité.

Suite à l’attaque quelles ont été les conséquences : l’indisponibilité des systèmes, la perte financière enfin le vol de données.

Pour le blocage des systèmes l’immobilisation dans la moitié des cas n’a duré qu’une journée et dans une moindre mesure plus d’un mois.

Suite à l’attaque 27% des entreprises ont porté plainte. 10% des entreprise ont été prise en charge par leur assurance. Au final, 100% de entreprises ont subi des pertes financières.

Pour celles qui n’ont pas fait l’objet d’attaque, un tiers des entreprises pensent ne pas devoir faire l’objet d’attaques toutefois en 2021 cela concernait plus de 70 % des réponses. Elles redoutent toutes la perte financière.

Concernant l’organisation des entreprises en cyber, 60% n’ont pas d’organisation, 93% des entreprises n’ont pas de budget dédié et seulement 25% ont contracté une assurance cyber.
47% des entreprises n’ont pas de charte informatique, 40% ont une charte enfin 11% ont une charte une PSSI...

Concernant la protection des données 30% ont un DPO, 52% ont une politique, 34% n’ont rien fait et 14% ne savent pas.

Quel est le plan d’action cyber mis en place ?

1/4 des entreprises ont un plan d’action
Pour les autres 30% ne savent comment démarrer un plan d’action cyber
27% n’ont pas de budget dédié
19% ce n’est pas une priorité

Pour celles qui ont mis en place un plan cyber, 25% ont réalisé un diagnostic avec des outils en ligne ou via un prestataire externe. Pour la formation 44% des entreprises l’ont fait soit pour l’ensemble du personnel dont une majorité en présentiel. 17% ont mené des campagnes de phishing.
29% des entreprise ont lancé un scan de vulnérabilités sur leur site web. 52% des entreprises ne se sentent pas suffisamment accompagnés en cybersécurité.

Comment mieux se protéger

Apave a recensé trois actions à mener :
La famille des risques humains
L’organisationnel
La technique

Apave veut travailler sur ces trois facteurs
Pour le facteur humain, les résultats de l’enquête montrent que l’on est sur le bon chemin car les entreprises ont une assez bonne conscience des risques.

Concernant les facteurs organisationnels les entreprises sont en difficulté. Il faut donc mène des actions assez énergiques. Il est nécessaire établir un minimum de règles et de procédures.
Pour les facteurs techniques, il y a des besoins importants mais avec des solutions adaptées aux TPE PME et capable d’évoluer en fonction du type d’attaques.

En conclusion, il a indiqué qu’un guide sera publié dans quelques semaines. Il a conseillé en cas de cyber attaques : il faut porter plainte et en cas de perte de donnés il faut contacter la CNIL aller sur le site de www.cybermalveillance.fr