Les Petites Entreprises, Grands Risques : Écoutez les Économistes

Le risque cybernétique s’impose comme l’un des enjeux les plus critiques auxquels les entreprises font face dans notre monde interconnecté. Malheureusement, la fréquence et l’ampleur des violations de données augmentent à un rythme alarmant. Par conséquence, les grandes entreprises, telles que celles cotées en bourse, investissent des millions de dollars chaque année dans des activités de cybersécurité destinées à prévenir les cyberincidents potentiels et à repérer les violations réelles.

Ces activités incluent le chiffrement des données, l’acquisition de logiciels et de matériels sophistiqués en matière de cybersécurité, ainsi que le recrutement d’experts en cybersécurité. De plus, une violation importante au sein d’une grande entreprise entraîne souvent des coûts de récupération élevés, impliquant le recours à des consultants en cybersécurité, des avocats et des investissements significatifs pour améliorer les mesures de prévention des incidents futurs. Les grandes entreprises allouent également des sommes conséquentes à l’assurance cybernétique.

Il est généralement observé que les sociétés cotées en bourse connaissent une chute de la valeur de leurs actions à court terme après la divulgation d’une violation majeure. Par conséquent, lorsqu’une violation devient publique, il est courant pour ces entreprises de lancer une campagne marketing coûteuse visant à atténuer les effets négatifs sur leur réputation et à redresser le cours de leurs actions.

Comme mentionné précédemment, le coût total d’une forte violation de données peut être considérable pour une grande entreprise. Toutefois, celles-ci réussissent généralement à surmonter de tels incidents. En réalité, les grandes entreprises non seulement survivent à une cyberattaque majeure, mais elles deviennent également plus habiles à éviter les violations futures.

Cependant, il convient de noter que ces grandes structures ne représentent qu’une infime fraction de l’ensemble des entreprises mondiales. Selon la Chambre de commerce des États-Unis, il existe plus de 33 millions de petites entreprises aux États-Unis, qui constituent plus de 99 % du tissu entrepreneurial du pays. De surcroît, ces entreprises contribuent à plus de 40 % du PIB américain.

Pourquoi la taille compte-t-elle pour les risques cybernétiques ?

Bien que les pourcentages varient, les petites entreprises jouent un rôle prépondérant dans l’économie de presque tous les pays. Ce constat s’applique particulièrement aux pays à économie en développement, où les petites entreprises sont essentielles au développement économique. Comme le souligne la Chambre des PME de l’Inde, « les micro, petites et moyennes entreprises (MPME) sont la pierre angulaire du développement socio-économique de notre pays ».

La majorité des petites entreprises emploient moins de 50 personnes. Dans de nombreux pays (par exemple, l’Inde), les petites entreprises sont principalement constituées de micro-entreprises, généralement comptant moins de 10 employés. Contrairement aux grandes entreprises qui dépensent des millions de dollars par an en cybersécurité, il est reconnu que les petites entreprises disposent de ressources financières limitées pour faire face à ces enjeux. Cette contrainte de ressources signifie également que la plupart des petites entreprises ne pourraient pas survivre financièrement à une violation de données majeure. En effet, une telle situation pourrait facilement mener à une catastrophe financière (c’est-à-dire à la faillite).

Être petit ne signifie pas être à l’abri des hackers

La crainte qu’une petite entreprise subisse une catastrophe financière suite à une cyberattaque est souvent minimisée, voire ignorée, par de nombreuses petites structures. Cela se base sur le mythe selon lequel les cybercriminels se concentrent exclusivement sur les grandes organisations, où le potentiel de gain d’une attaque réussie est significativement plus élevé que pour une petite entreprise. Ainsi, beaucoup de petites sociétés supposent qu’elles ne sont pas dans le viseur des cybercriminels.

Cette hypothèse est totalement erronée ! Les cybercriminels évaluent le retour sur investissement par rapport aux efforts déployés dans leurs activités malveillantes. Autrement dit, ils prennent en compte les aspects coût-bénéfice des cyberattaques. Par conséquent, il leur arrive souvent de cibler des petites entreprises plutôt que de grandes.

Un exemple hypothétique peut illustrer cette perspective coût-bénéfice. Supposons qu’un cybercriminel envisage de passer 100 heures à tenter d’attaquer une grande entreprise, en estimant la probabilité de succès de son attaque à 2 %. Dans ce cas, le gain potentiel d’une telle attaque serait d’un million de dollars. Donc, l’espoir de gain est de 20 000 dollars (2 % de 1 000 000 de dollars), soit 200 dollars de revenu par heure de travail.

Maintenant, imaginons que ce même cybercriminel décide de consacrer ses 100 heures à attaquer cinq petites entreprises, répartissant ainsi environ 20 heures par entreprise. Comme il est conscient que les petites entreprises disposent de moins de ressources pour les activités liées à la cybersécurité, il estime la probabilité de succès d’une attaque contre chacune d’elles à 10 %.

Autrement dit, notre cybercriminel évalue que la probabilité de succès d’une attaque contre une petite entreprise est bien supérieure à celle d’une grande, avec des temps d’intervention sensiblement moins longs. Imaginons enfin qu’il évalue le montant à gagner par attaque réussie à 100 000 dollars pour chacune des cinq petites entreprises. Les gains espérés s’élèveraient à 50 000 dollars (soit 10 % de 100 000 dollars multiplié par 5), soit 500 dollars de gain par heure de travail. Le montant de 50 000 dollars représente donc ce que le cybercriminel aurait perdu en consacrant ses 100 heures à cibler la grande entreprise dans le scénario précédent.

Dans ce cas, notre cybercriminel aurait tout intérêt à consacrer son temps à attaquer les cinq petites entreprises ! Bien sûr, il peut y avoir d’autres situations où l’attaque d’une grande entreprise pourrait offrir un meilleur retour. Quoi qu’il en soit, il est crucial que les petites entreprises prennent conscience qu’elles peuvent elles aussi, et souvent seront, une cible attrayante pour de futures cyberattaques.

Tous sont sur le radar

Bien que la discussion ci-dessus soit axée sur les entreprises privées, elle s’applique également aux petites municipalités et entreprises gouvernementales. Par exemple, dans de nombreux pays (comme l’Inde, le Royaume-Uni ou les États-Unis), des milliers de petites municipalités (villes, villages) sont incorporées. Contrairement aux grosses agences gouvernementales qui dépensent des millions de dollars en cybersécurité, la plupart des petites municipalités ont des ressources limitées à consacrer à ce domaine.

Cependant, à l’instar des petites entreprises, il existe une tendance à supposer qu’elles ne seront pas des cibles principales pour les cybercriminels, ce qui est également une fiction ! Pour les mêmes raisons qui font des petites entreprises des cibles privilégiées, ces municipalités peuvent également devenir, et souvent seront, des cibles pour les cybercriminels.

Une fois qu’elles ont compris qu’il s’agit d’un mythe de croire que les cybercriminels s’attaquent uniquement aux grandes structures, il est temps pour les petites organisations (entreprises, municipalités et administrations gouvernementales) de réfléchir à des moyens de sécuriser leurs systèmes d’information à un coût qui reste dans leurs contraintes financières. Dans certains pays, des programmes gouvernementaux existants offrent des services gratuits pour aider ces organisations dans leur démarche.

Loin d’être une option, ces organisations doivent saisir ces opportunités. En l’absence de tels programmes, il est impératif qu’elles cherchent d’autres moyens de garantir la sécurité de leur cyberspace.

.