Cyberattaques : Cybermalveillance.gouv.fr se met à la prévention pour PME et TPE

C’est une petite nouveauté qui pourrait avoir un impact important. Désormais, le GIP Acyma, qui pilote le portail Cybermalveillance.gouv.fr ne se contentera plus d’accompagner les victimes de cyberattaques : il va tenter de les en préserver.

Le dispositif, présenté ce mardi 20 juillet par Cédric O, secrétaire d’État chargé de la Transition numérique et des Communications électroniques, vise à alerter les patrons de TPE et de PME en cas de « vulnérabilité et ou de campagne d’attaque particulièrement critique pour ce type de structure ». Pour cela, Acyma produira, en lien avec l’Agence nationale de la sécurité des systèmes d’information (Anssi), une notice d’alerte détaillant les risques présentés par la vulnérabilité, la décrivant et précisant les systèmes concernés ainsi que les mesures à prendre. Le tout en s’attachant à rédiger un message « succinct et compréhensible pour des dirigeants d’entreprises non spécialistes de la cybersécurité ».

De fait, le Cert-FR alerte régulièrement sur les vulnérabilités critiques, mais l’on imagine sans peine que ses alertes atteignent essentiellement des équipes informatiques – et assurément pas toutes.

Là, la notice produite conjointement par l’Anssi et Acyma sera « transmise aux organisations interprofessionnelles (MEDEF, CPME et U2P), aux réseaux consulaires des Chambres de Commerce et d’Industrie (CCI) et des Chambres de Métiers et de l’Artisanat (CMA) ainsi qu’au dispositif public “France Num”, qui accompagne la transformation numérique des petites entreprises », explique le communiqué de presse. À charge pour eux de relayer la notice « le plus largement possible aux entreprises avec lesquelles elles sont relation ».

Un tel dispositif n’empêchera pas les défauts de configuration utilisés par les attaquants, à l’instar de services RDP exposés directement sur Internet sans sécurité additionnelle, mais peut-être évitera-t-il que ne restent exposés des systèmes affectés par des vulnérabilités critiques, des mois après l’apparition des correctifs. Des vulnérabilités qui n’ont pas manqué d’être régulièrement exploitées dans des attaques avec ransomware.

En outre, l’Anssi et Acyma tiennent peut-être là un début de réponse au manque de réactivité des entreprises auxquelles l’agence adressait jusqu’ici ses alertes. Lors d’une audition à huis clos, début juin, par la Commission de la défense nationale et des forces armées de l’Assemblée nationale, Guillaume Poupard, directeur général de l’Anssi, avait ainsi indiqué que « quelques milliers de victimes potentielles » en France avaient été alertées parce qu’elles exposaient un serveur Exchange affecté par les vulnérabilités dites ProxyLogon, celles « que nous avons réussi à joindre ». Une douche froide : « 3 % d’entre elles seulement nous ont répondu ».

Réussir à mettre en place un dispositif d’alerte susceptible de toucher les PME et les TPE apparaît d’autant plus critique que celles-ci, selon l’AMRAE, ne profitent encore que marginalement d’une couverture assurantielle susceptible de compléter leur politique de gestion du risque cyber – si tant est qu’il y en ait une. Récemment, l’association relevait que « seulement 8 % des ETI sont assurées pour une couverture moyenne de 8 M€. Une telle capacité est facilement accessible sur le marché, à taux de prime très attractifs ». Au final, pour elle, les ETI, les PME et les collectivités publiques « ne recourent à l’assurance cyber que de façon marginale ».

La prise de conscience que pourrait susciter la diffusion efficace d’alertes ciblées pour des vulnérabilités critiques, auprès des TPE et des PME, pourrait également aider à faire évoluer cette situation. Il ne manque aujourd’hui au tableau que les collectivités territoriales, qui sont pourtant concernées.