Les attaques informatiques par ransomware ont fortement augmenté en 2020, touchant de grandes entreprises telles que Garmin ou MMA. Mais, contrairement à une idée reçue, les petites et moyennes entreprises ne sont pas épargnées comme l’a appris à ses dépends une PME de la Sarthe en juillet 2020. En effet, les PME sont particulièrement visées par les attaques informatiques et ce pour une raison toute simple : elles sont moins bien protégées et donc plus facilement piratables.

Les PME particulièrement visées par les pirates informatiques

Si on entend parler quotidiennement du piratage de grandes entreprises telles que Bouygues Construction, Fleury Michon ou M6 dans les médias il ne faut pas pour autant en déduire que petites et moyennes entreprises sont épargnées, bien au contraire!

Sur le seul mois de juin 2020, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est intervenue sur 28 attaques de PME en à peine plus d’une semaine. Alors qu’en 2019 l’ANSSI n’était intervenue que 54 fois, toutes entreprises confondues.

Du fait de protections informatiques souvent insuffisantes, les PME sont des cibles privilégiées pour tout type de pirates informatiques. Qu’il s’agisse de ransomware qui crypte les systèmes dont la clé de décryptage n’est fournie qu’en échange d’une rançon ou du vol de données, les pirates peuvent souvent réaliser leurs actes malveillants bien plus facilement avec les PME qu’avec les grandes entreprises bien mieux protégées.

François Deruty, sous-directeur des opérations de l’ANSSI, précise : « En parallèle de l’attaque par rançongiciel, nous voyons de plus en plus de vols de données suivis d’un chantage à la publication sur le web de ces informations parfois sensibles ».

L’ANSSI a d’ailleurs publié un guide à destination des entreprises pour qu’elles se protègent mieux contre les attaques informatiques.

Pour une entreprise, grand groupe ou PME, être victime d’un ransomware signifie plusieurs jours d’interruption de tout son système informatique, et un coût allant de quelques milliers d’euros pour la plus petite des entreprises à plusieurs millions d’euros dans le cas de grosse société. Etre victime de vol de données n’est guère mieux puisqu’il faut payer pour qu’elle ne soient pas divulguées ou revendues à des pirates voire des concurrents.

Quelle que soit la taille de l’entreprise et le nombre de serveurs et postes informatiques, toute société est une victime potentielle aussi est-il nécessaire d’anticiper. Un audit de la sécurité informatique peut être une des premières étapes indispensables afin de définir un plan de déploiement de protections.