Close
Summary icon
Sommaire

Cybersécurité en 2024 : quelle stratégie adopter ?

8 min
4 avril 2024
Par Anaëlle Gautier
Couverture de message Violet Cybersécurité

831 : c’est le nombre d’intrusions avérées recensées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en 2022. Soit plus de 2 cyberattaques réussies par jour.


La digitalisation des entreprises offre de nombreuses opportunités aux attaquants, et ce, dans tous les secteurs d’activité.


Que vous soyez freelance ou dirigeant(e) d’une TPE - PME, quels sont les risques auxquels est exposée votre entreprise ? Quelle stratégie cyber adopter ? Dans cet article, découvrez les caractéristiques du risque cyber pour les activités d’indépendant(e) et les TPE - PME, ainsi que les conseils pratiques d’Ayoub El Aassal, notre directeur de la cybersécurité.

Le risque cyber pour les indépendant(e)s et les TPE - PME en 2024

Quel risque cyber pour les TPE - PME françaises ?

Les cyberattaques, ça n’arrive qu’aux autres ? Pas vraiment si l’en on croit les études récentes. Même si le nombre global d’attaques constatées en 2022 était légèrement moins important qu’en 2021, « la menace reste élevée » selon l’ANSSI. Et cela concerne également les TPE - PME.


Pour vous donner quelques éléments de contexte chiffré :

  • 45 % des entreprises ont été touchées par une cyberattaque ayant réussi en 2022 (baromètre du CESIN).
  • 60 % de ces attaques ont eu un impact direct sur l’activité de l’entreprise. Pour 24 % des entreprises touchées, cela s’est traduit par des perturbations d’activité pendant une période significative, pour 14 % par une compromission d’information et une perte d’image / un impact médiatique, et pour 13 % par l’indisponibilité du site web (baromètre du CESIN).
  • 14 % des entreprises victimes ont dépensé plus de 50 000 € pour relancer l’activité après la cyberattaque, et 6 % jusqu’à 100 000 €.

Quelle est l’exposition de votre activité au risque cyber ?

Si la majorité des attaques ciblant les TPE - PME sont faites par opportunisme, en exploitant des failles, elles peuvent déboucher sur des incidents plus importants. Le risque cyber est donc à prendre au sérieux pour assurer la pérennité de son activité.


Avant de vous lancer dans une stratégie de protection, vous devez évaluer l’exposition de votre activité. Demandez-vous donc : qui nous attaque et que cherchons-nous à protéger ?

Il n’y a pas de réponse-type à ces questions. Cela dépend foncièrement de l’activité de votre entreprise. En revanche, cette discussion sur le modèle de la menace est un incontournable pour toute entreprise. - Ayoub El Aassal, directeur de la cybersécurité, Qonto

La réponse à ces deux questions détermine votre besoin de protection. Si votre niveau d’exposition est limité : votre présence en ligne consiste en un simple site vitrine et quelques profils sur les réseaux sociaux, votre principale menace sont les bots automatiques qui scannent Internet à la recherche de failles facilement exploitables. À partir d’un certain chiffre d’affaires ou selon le côté critique de votre business, vous pouvez être la cible d’attaquants avec plus de ressources et de compétences.

Une fois ce seuil de chiffre d’affaires dépassé, ou si votre activité est particulièrement sensible, vous aurez forcément besoin d’un(e) professionnel(le) pour vous accompagner. Cette personne sera chargée de définir et décliner les modèles de protection. - Ayoub El Aassal, directeur de la cybersécurité, Qonto

La combinaison typologie d’attaquants / ressources à protéger dicte la stratégie cyber. Une fois qu’elle est bien formulée, vous êtes prêt(e) à la dérouler.

Comment se protéger du risque cyber selon la taille de votre entreprise ?

Vous êtes freelance ou solopreneur(e)

Quel niveau d’exposition ?

Pour la plupart des freelances et des solopreneur(e)s, le niveau de risque est peu élevé. Vous avez sans doute un CV en ligne, un profil Linkedin et/ou Malt, peut-être un site web. En somme, rien qui ne menace la survie de votre entreprise. Il faut cependant sécuriser a minima votre activité. Voici nos deux conseils pour y arriver.


Quelles bonnes pratiques ?


1. Activez la double authentification sur tous vos comptes

L’authentification à double facteur (2FA pour two-factor authentication en anglais) est une méthode de sécurité qui requiert deux formes d’identification différentes pour accéder à vos données. Cela combine en général un élément que vous savez, comme un mot de passe, et un élément que vous possédez, comme une application ou une clé de sécurité physique.


Un identifiant et un mot de passe ne constituent pas une méthode de connexion très sécurisée : ce sont bien deux éléments distincts, mais c’est une authentification qui fait appel à un seul facteur (mémoriel).

L’idée est de vous protéger contre quelqu’un qui devine votre mot de passe. Si votre site web est piraté et le mot de passe obtenu, ou récupéré via une liste de mots de passe fuités, l’attaquant peut le rejouer partout et obtenir des données plus critiques. - Ayoub El Aassal, directeur de la cybersécurité, Qonto

Vous avez plusieurs méthodes à votre disposition pour mettre en place l’authentification à double facteur. Cela peut être :

  • l’envoi d’un code unique par SMS, qui peut être limité dans le temps,
  • l’utilisation d’une application d’authentification,
  • l’envoi d’une notification de connexion sur un autre appareil,
  • la reconnaissance faciale, vocale, ou par empreinte digitale,
  • une clé de sécurité ou une clé cryptographique (par exemple, Yubikey).

Si la méthode qui repose sur l’envoi d’un code par SMS est populaire par sa facilité, elle n’est aujourd’hui plus considérée comme sûre. Si vous travaillez dans un milieu sensible, choisissez une double authentification compatible webauthn (par exemple, une clé YubiKey).

2. Équipez-vous d’un gestionnaire de mots de passe

Un gestionnaire de mots de passe (password manager) vous permet de générer des mots de passe complexes et les retient pour vous. Parmi les gestionnaires de mots de passe les plus connus, on retrouve Dashlane et 1Password.

Si vous n’avez pas de gestionnaire de mots de passe, la tentation de mettre le même mot de passe-partout est forte. Cela représente un risque systémique pour votre activité. - Ayoub El Aassal, directeur de la cybersécurité, Qonto

Ces logiciels détectent automatiquement les sites web légitimes en pré-remplissant les champs d’authentification. Bien qu’un(e) humain(e) puisse être trompé(e) par un site malveillant, qui a copié l’identité de Gmail par exemple, le gestionnaire de mots de passe, lui, refusera de compléter votre mot de passe si le site n’est pas légitime. Cela vous alertera et vous pourrez éviter un incident.


Quid de la fonction de gestion de mots de passe incluse dans certains navigateurs web, comme Google Chrome et Safari ? Notre directeur de la cybersécurité vous donne son avis :

C’est un bon début, mais ils n’offrent pas les mêmes garanties de sécurité que les véritables gestionnaires de mots de passe. Par ailleurs, si vous travaillez sur plusieurs navigateurs en parallèle, cela crée de la complexité. Mieux vaut dépenser quelques euros par mois pour un vrai gestionnaire de mots de passe.

Stocker tous ses mots de passe dans un seul gestionnaire concentre le risque de sécurité en cas de faille de ce dernier. Encore une fois, tout est une question de risque. Choisissez-vous de prioriser le risque de rejeu de mot de passe ou le risque de piratage du gestionnaire de mots de passe ? Chaque entreprise dispose d’un appétit différent en fonction de sa situation économique et son secteur d’activité.

Vous êtes dirigeant(e) de PME

Quel niveau d’exposition ?

Une PME a en général une présence en ligne, grâce à son site web notamment. Elle peut d’ailleurs proposer ses produits et services en ligne. Elle a un réseau (infrastructures, outils, etc) et des données clients et business stockées. Votre niveau d’exposition au risque cyber devient plus important. Voici les conseils d’Ayoub El Aassal en fonction de votre stade de développement.


Quelles bonnes pratiques ?

Pour commencer, les recommandations indiquées pour les freelances et solopreneur(e)s s’appliquent également pour votre PME. Demandez l’authentification à double facteur sur les outils critiques utilisés par vos salarié(e)s et mettez en place un gestionnaire de mots de passe pour l’entreprise.

Pour le gestionnaire de mots de passe, à vous de faire une analyse risque / coût. Vous pouvez soit inviter l’ensemble de vos employé(e)s, soit seulement les salarié(e)s ayant les rôles les plus sensibles. - Ayoub El Aassal, directeur de la cybersécurité, Qonto

  • Jusqu’à 50 personnes

Vous avez une présence en ligne à protéger, vous êtes exposé(e) aux menaces triviales sur internet. Avant de penser à vous protéger, vous devez faire l’inventaire de vos actifs et évaluer l’exposition pour chacun. Une fois cette étape réalisée, vous pouvez mettre en place des actions pour réduire l’exposition de chaque actif.


Deux bonnes pratiques :


1. Mettre en place un WAF devant chaque site web
Un WAF - web application firewall - est un pare-feu d’application web qui protège le serveur d’applications web en filtrant les requêtes malveillantes venant d’Internet. Cela protège l’entreprise contre les attaques simples et génériques souvent exécutées par des scripts et des bots.


2. Limiter l’impact en cas de compromission d’un actif

Parcourez chaque actif de votre inventaire et essayez de répondre à cette question : comment protéger mon activité si cet actif est compromis ? Par exemple, si un poste de travail est attaqué, il ne faut pas que l’attaque puisse se propager au poste voisin. À faire : mettre en place un antivirus et couper les réseaux entre les postes de travail. De la même façon pour les serveurs et machines : ne mettez pas le même mot de passe administrateur et d’application partout. On peut toujours trouver des mesures économiques à mettre en place pour drastiquement réduire l’impact et l’adapter à votre appétit du risque.

Couper le réseau entre les postes de travail est une mesure très efficace contre les ransomware par exemple. - Ayoub El Aassal, directeur de la cybersécurité, Qonto

Qu’est-ce qu’un ransomware ? Également appelé rançongiciel, il s’agit d’un logiciel malveillant qui verrouille les données de l’entreprise et requiert une rançon pour les débloquer.


Ces deux bonnes pratiques garantissent une bonne protection de base à votre TPE - PME.

Et si votre start-up est en pré-product-market fit (PMF) ?
« Cela dépend bien sûr de l’appétit des fondateurs sur ce sujet. Ma recommandation : concentrez-vous sur votre activité. Mettez simplement en place des éléments de sécurité de base, qui protègent votre start-up tout en vous garantissant agilité et économies. »

  • À partir de 50 personnes

Une fois que vous dépassez 50 personnes dans l’équipe, recruter une personne spécialisée, qui se chargera de la protection de l’entreprise, devient incontournable.


Elle aura différentes tâches, notamment :


1. Modéliser plus finement l’attaquant

Fort(e) de sa connaissance des différents modus operandi des attaquants, votre responsable cybersécurité vous aidera à identifier les bons sujets et prioriser les actions. Si la menace pressante est le ransomware, faut-il commencer par effectuer des sauvegardes, segmenter les réseaux ou encore installer un EDR (endpoint detection and response, il s’agit d’un logiciel de détection des menaces) ? Toutes ces mesures sont valides, mais leur ordre d’implémentation est clé et peut faire la différence entre une brèche systémique et un poste unique compromis.

2. Neutraliser le risque systémique en mettant en place des outils et des méthodologies

Il ne faut pas qu’un(e) employé(e) puisse mettre en danger votre activité et/ou partir avec des données critiques. C’est une tâche compliquée, qui implique de mettre en place des process et des systèmes de validation (automatiques ou manuels). Par exemple, il ne faut pas qu’un(e) seul(e) développeur(se) puisse modifier du code critique en production. Il faut implémenter un système de revue ou d’approbation, tout en veillant à ne pas perdre en agilité et flexibilité de développement.


  • À partir de 150 personnes

Au-delà de 150 personnes, on ne connaît plus tout le monde dans l’entreprise. Centraliser la gestion des identités devient important. Concrètement, cela passe par une plateforme sur laquelle chaque employé(e) s’identifie. Chez Qonto, nous utilisons OneLogin. Une autre plateforme populaire est Okta.


  • À partir de 200 - 250 personnes

À ce stade, l’entreprise a mis en place assez d’éléments de protection pour commencer à envisager un investissement sérieux en détection. C’est le moment d’organiser la traçabilité des actions et de les centraliser. Si une personne modifie un composant critique, il faut pouvoir le savoir. En centralisant ces événements dans un SIEM (security information and event management), vous pouvez détecter des comportements inhabituels.



Vous l’aurez compris, en 2024, impossible d’ignorer le risque cyber. Y être sensibilisé(e) et l’intégrer dans vos plans de développement est devenu incontournable pour assurer la pérennité de votre activité. Nous espérons que les bonnes pratiques partagées dans cet article vous inspireront pour sécuriser votre entreprise.

À retenir
  • La menace cyber pour les freelances et les TPE - PME est une réalité à ne pas ignorer.
  • Qui vous attaque ? Que cherchez-vous à protéger ? La réponse à ces deux questions est la base de votre stratégie cyber.
  • Freelances, adoptez l’authentification à double facteur et le gestionnaire de mots de passe.
  • PME, de nouvelles mesures doivent être mises en place au fur et à mesure de votre croissance. Pensez à recruter une personne spécialisée dès 50 salarié(e)s.
ÉCRIT PAR
Anaëlle Gautier
Anaëlle est copywriter freelance depuis 2018 et écrit pour de nombreux clients, dont Qonto. Elle est spécialisée en fintech et SaaS B2B et écrit également sur le freelancing.
Articles recommandés
Couverture de message Sécurité de l'entreprise Mustard
GESTION ENTREPRISE
Politique de confidentialité et de sécurité : comment la mettre en place ?
Par Anaëlle Gautier, 31/05/2024
Conseils pour Peach AI
TENDANCES
Intelligence artificielle : quelle stratégie adopter en entreprise ?
Par Anaëlle Gautier, 03/07/2024
Post Cover noir et blanc pour téléphone portable
COMPTE PROFESSIONNEL
Fraudes bancaires : comment les détecter et vous protéger ?
Par Anaëlle Gautier, 14/09/2023
Couverture de message noir et blanc Team Mobile
TENDANCES
ChatGPT et assimilés : quel potentiel en entreprise ?
Par Anaëlle Gautier, 04/05/2023
Couverture de message Solution numérique violette
TENDANCES
Créez votre site et vos apps sans avoir à coder
Par Touhfat Mouhtare, 10/06/2022
Couverture de message Peach Desktop Qonto
TENDANCES
Entreprise digitalisée : de quoi parle-t-on ?
Par Julie Merrer, 28/06/2021