Ce qu’il faut savoir¶
Typologie des attaques informatiques en 2024¶
Voici un aperçu des dernières attaques de cybersécurité qui ont touché les PME et ETI françaises en 2024:
Rançongiciels (Ransomware) : De nombreuses PME ont été paralysées par des rançongiciels, entraînant des pertes financières importantes et des interruptions d’activité prolongées[1][5].
Phishing et hameçonnage : Les campagnes de phishing ont augmenté, avec des cybercriminels utilisant des techniques sophistiquées pour tromper les employés et obtenir des informations sensibles[2][6].
Attaques par déni de service (DDoS) : Certaines PME ont été victimes d’attaques DDoS, où les attaquants inondent les serveurs de l’entreprise avec un trafic massif, rendant les services en ligne inaccessibles[3][7].
Exfiltration de données : Des incidents d’exfiltration de données ont été signalés, où des cybercriminels ont réussi à voler des informations sensibles, telles que des données clients et des secrets commerciaux[4][8]
Vulnérabilités logicielles : L’exploitation de vulnérabilités dans les logiciels utilisés par les PME a également été une méthode courante pour les cyberattaquants[4][8].
La réglementation¶
Des initiatives montrent l’importance croissante de la cybersécurité pour les PME et les ETI. Les principaux acteurs de la cybersécurité des PME sont le Conseil d’Etat et le Comité de Sécurité des PME.
Réglementation en matière de cybersécurité pour les PME et ETI¶
Directive NIS2 : Cette directive européenne, entrée en vigueur en décembre 2022, vise à renforcer la cybersécurité au sein de l’Union européenne. Elle s’applique à 18 secteurs d’activité, y compris les PME et ETI, et impose des mesures de sécurité adaptées aux risques. En France, certaines exigences de la NIS2 seront obligatoires dès octobre 2024[10].
OIV et OSE : Les Opérateurs d’Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE) sont soumis à des réglementations strictes en matière de cybersécurité. Ces entités jouent un rôle crucial dans la sécurité nationale et la continuité des services essentiels. La directive NIS2 et la directive sur la résilience des entités critiques (REC) imposent des mesures de sécurité renforcées pour protéger ces infrastructures critiques contre les cybermenaces^1^^3^^4^. A noter que les prestataires des OIV et OSE doivent mettre aussi en application les directives NIS2 et REC.
Règlement DORA : Le règlement sur la résilience opérationnelle numérique (DORA) est un cadre réglementaire européen qui vise à renforcer la résilience des entités financières face aux risques informatiques et cybernétiques. Entré en vigueur en janvier 2023, DORA impose des exigences uniformes pour la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information. Il prévoit également un mécanisme de surveillance des prestataires de services TIC critiques au niveau de l’UE^5^.
Programme « Cyber PME » : Lancé dans le cadre du plan France 2030, ce programme vise à renforcer les compétences en cybersécurité des PME et ETI. Il offre un accompagnement complet, incluant un diagnostic, la mise en œuvre d’un plan d’action et l’achat de solutions de cybersécurité. Ce programme est piloté par la Direction générale des Entreprises (DGE) et opéré par Bpifrance en collaboration avec l’ANSSI[11][12]
Guide de cybersécurité pour les TPE/PME : L’ANSSI, en partenariat avec la DGE et Cybermalveillance
.gouv .fr, a publié un guide pratique pour aider les petites entreprises à se protéger contre les cyberattaques. Ce guide propose des réponses accessibles à des questions essentielles sur la sécurité informatique[13][14]