En Tunisie, on constate un vrai décalage entre la conscience du risque cyber et l'action prise pour pallier les éventuels risques… Les entreprises savent que la cyber-sécurité est un sujet important, mais elles peinent à prendre des décisions éclairées. Comment les petites et moyennes entreprises tunisiennes envisagent-elles la cyber-sécurité ? Se sentent-elles exposées aux risques ? Quels conseils peut-on apporter aux entreprises pour une meilleure résilience en matière de cyber-sécurité ? C'est à ces questions et bien d'autres que la dernière étude menée par le leader mondial de la cyber-sécurité, Kaspersky, portant sur la maturité des PME tunisiennes en matière de cyber-sécurité, tente de répondre. Intitulée «Cyber-menaces, habitudes numériques et investissements : quelle maturité pour les entreprises tunisiennes ?», l'étude a enquêté auprès de 300 entreprises tunisiennes, employant 10 à 250 salariés, afin de mieux comprendre leur perception de la cyber-sécurité, leur niveau de connaissance, mais aussi les actions déployées dans leur entreprise pour lutter contre les cyber-menaces. 764.015 fichiers malveillants en cinq mois Le constat est là et il est bien amer : les entreprises demeurent une proie lucrative pour les cybercriminels qui continuent de les cibler en recourant à toutes sortes de méthodes sophistiquées et en persistant dans leurs efforts pour infiltrer ces entreprises. Parmi les méthodes employées, on cite notamment l'exploitation des vulnérabilités, l'utilisation d'e-mails de phishing, de SMS trompeurs, voire de liens You Tube d'apparence inoffensifs..., le tout dans le but d'obtenir un accès non autorisé à des données sensibles. Cette tendance préoccupante souligne le besoin urgent de renforcer les mesures de cyber-sécurité pour protéger les PME contre les attaques incessantes des cyber-menaces étant donné, qu'à l'échelle internationale, le rapport révèle que le nombre total de détections de ces fichiers malveillants visant les PME, au cours des cinq premiers mois de 2023, a atteint 764.015. «L'exploitation de vulnérabilités a constitué la menace la plus répandue pour les PME à travers le monde, représentant 63 % de toutes les détections au cours des cinq premiers mois de 2023. Ces programmes malveillants ciblent les vulnérabilités logicielles, permettant aux cybercriminels d'exécuter des logiciels malveillants, d'accroître leurs privilèges ou d'entraver le fonctionnement d'applications critiques sans qu'aucune interaction avec l'utilisateur ne soit nécessaire», souligne le rapport, tout en ajoutant que les menaces de phishing et d'escroquerie représentent également un risque important pour les PME. Dans ce même cadre, le rapport de Kaspersky attire l'attention sur une méthode fréquemment utilisée pour infiltrer les smartphones des employés, appelée «smishing», une combinaison rusée de SMS et d'hameçonnage. Cette technique consiste à envoyer à la victime un message texte contenant un lien, distribué par le biais de diverses plateformes telles qu'un SMS, WhatsApp, Facebook, Messenger, WeChat... Si l'utilisateur peu méfiant clique sur le lien intégré, son appareil devient vulnérable au téléchargement de codes malveillants, ce qui compromet sa sécurité. Quelle situation au Maroc ? Pour le Maroc et la Tunisie, les chiffres sont assez évocateurs d'une croissance de la digitalisation des PME, d'une part, mais également de l'attractivité des entreprises pour les cybercriminels. Selon le document, pour ces deux voisins, la tendance est malheureusement à la hausse entre le premier semestre 2022 et le premier semestre 2023, à la fois en nombre d'attaques détectées, en nombre d'employés ciblés directement et en nombre de fichiers malveillants uniques. Au Maroc, sur le premier semestre 2023 (du 1er janvier au 30 juin), 324 types de fichiers malveillants ciblant les PME ont été détectés par les outils Kaspersky. Ces derniers ont ciblé 430 employés uniques et ont été détectés et bloqués 4.176 fois, ce qui signifie que chaque fichier malveillant a été propagé de nombreuses fois. Il est intéressant de noter, non sans inquiétude, une forte croissance de la menace sur le mois de juin 2023. En effet, sur ce simple mois, 84 fichiers malveillants uniques ont été détectés, ciblant 158 utilisateurs uniques et repérés 1.771 fois en tout à travers le Royaume. En comparaison, en 2022, sur la période janvier-juin, 165 fichiers malveillants ciblant les PME marocaines avaient été détectés. Ces fichiers avaient été rencontrés par 90 employés uniques et détectés à plus de 2.212 reprises sur la même période. La situation diffère un peu en Tunisie Pour la Tunisie, les chiffres sont également en hausse entre le premier semestre 2022 et le premier semestre 2023, en ce qui concerne le nombre de fichiers malveillants repérés et le nombre d'individus ciblés. En revanche, le nombre d'attaques par fichier était largement supérieur en 2022, puisqu'il atteignait près de 10.000 occurrences bloquées par Kaspersky, contre un peu plus de 2.000 en 2023. Selon les chiffres publiés, en 2023, pas moins de 340 types de fichiers malveillants ciblant les PME ont été détectés par les outils Kaspersky. Ces derniers ont ciblé 342 employés uniques et ont été détectés 2.362 fois, ce qui signifie que chaque fichier malveillant a été diffusé de nombreuses fois. En comparaison, en 2022 sur la période janvier-juin, 103 fichiers malveillants ciblant les PME tunisiennes avaient été détectés. Ces fichiers avaient été rencontrés par 99 employés uniques et détectés à plus de 9.647 reprises sur cette période de l'année. Pendant le mois de juin 2023, on constate en Tunisie, comme au Maroc, une forte croissance de la menace par rapport au reste de l'année avec 66 fichiers uniques malveillants, rencontrés par 44 employés et détectés 621 fois. 67% des entreprises estiment être bien protégées Le rapport constate que les entreprises tunisiennes sont assez confiantes quant aux risques de dommages qu'une potentielle cyber-attaque pourrait causer à leur entreprise. D'une part, seules 20% des entreprises répondantes s'estiment personnellement exposées au risque cyber et 63% ne s'estiment absolument pas concernées. D'autre part, à une question sur les conséquences d'un potentiel incident de cyber-sécurité, une faible proportion d'entre elles perçoivent les risques de pertes de clients (14%), de pertes d'argent (16%), ou de pertes de données sensibles (21%), comme probables. Une entreprise sur cinq (21%) estime probable le risque d'espionnage de la part de pirates, ou d'acteurs tiers, et à peu près le même nombre considère possible qu'un ransomware ne bloque les accès aux données et cause une baisse d'activité ponctuelle. Seuls 17% des répondants estiment qu'une cyber-attaque peut causer des dommages physiques. Quant à la perte de réputation et au départ des salariés, ils n'inquiètent que respectivement 19% et 20% des entreprises répondantes. Ces chiffres peuvent faire sens en Tunisie puisque 67% des entreprises estiment être bien protégées face aux cyber-menaces. 68% des répondants estiment également comprendre tous les aspects de la cyber-sécurité et 72% affirment que toutes les décisions stratégiques de l'entreprise sont prises en fonction des considérations de cyber-sécurité. D'un point de vue pratique, lorsqu'on pose la question aux décideurs tunisiens afin de savoir s'ils sont certains que les anciens employés de l'entreprise n'ont plus accès aux anciens fichiers de l'entreprise, 77% répondent que oui. 78% des entreprises sont également certaines de savoir qui contacter en cas de cyber-attaque. Donc, sur le papier, la Tunisie est un pays où les PME sont plutôt sensibilisées et semblent matures en matière de cyber-sécurité. «En Tunisie, les entreprises pèchent par excès de confiance. Un nombre conséquent d'entre elles sont convaincues que le simple fait de mettre un firewall ou un antivirus les protège de toutes les menaces. En tout état de cause, les entreprises tunisiennes ont conscience de la nécessité de se protéger. Cependant, à l'instar de multiples pays, le problème se situe au niveau de l'exploitation des informations et des données remontées par les solutions technologiques. Cette dernière ne peut souvent être faite correctement, faute de temps, ou de compétences», commente Pascal Naudin, Head of B2B Sales pour Kaspersky Afrique du Nord, de l'Ouest et Afrique Centrale. 20% seulement disposent d'une solution de sécurité entreprise Pour ce qui est des habitudes et pratiques adoptées au sein des entreprises, 45 % des répondants affirment avoir une politique de mots de passe forte corrélée à des stratégies de sauvegardes fréquentes. Si ce chiffre est prometteur, parce que l'approche est en effet importante, on est en droit de se questionner : qu'en est-il des 55% qui répondent ne pas avoir cette politique ? Mis en parallèle avec les 60% de répondants estimant ne pas être exposés au risque cyber, ou encore les 66% attestant connaître tous les tenants et aboutissants de la cyber-sécurité, cela pose question ! L'étude indique que seuls 20% des répondants disposent d'une solution de sécurité entreprise, permettant au responsable informatique de gérer l'intégralité des mises à jour et patchs de sécurité. Parmi les autres réponses inquiétantes en matière de protection face aux cyber-menaces, on peut noter : 21% des répondants soulignent avoir une parfaite compréhension de leur écosystème informatique et sont capables de cartographier leur réseau, 10% prônent l'anticipation et investissent dans la threat intelligence et, enfin, 15% d'entre eux n'ont pas de stratégie de cyber-sécurité, parce qu'ils ne se sentent pas exposés. «D'ailleurs, ces chiffres font écho aux raisons pour lesquelles les dirigeants n'investissent pas plus en cyber-sécurité : 42% des répondants estiment qu'ils n'ont jamais été victimes de cyber-attaques et donc que l'investissement n'en vaut pas la chandelle. 32% justifient leur manque d'investissement parce qu'ils ne sont pas exposés», souligne le document, tout en ajoutant qu'en Tunisie, on constate un vrai décalage entre la conscience du risque cyber et l'action prise pour pallier les éventuels risques, étant donné que les entreprises savent que la cyber-sécurité est un sujet important, mais elles peinent à prendre des décisions éclairées. A cet égard, le besoin de sensibilisation est encore grand. Quelles barrières à l'investissement dans la cyber-sécurité ? A une question sur les barrières en matière d'investissement dans la cyber-sécurité, 22% seulement citent le manque de ressources en interne alors que 17% estiment manquer de connaissances sur le sujet. Pour la plupart, ils n'investissent pas parce qu'ils ne se sentent pas exposés (41%) ou parce qu'ils n'ont jamais fait l'expérience d'une cyber-attaque (27%). Selon Pascal Naudin, «la première barrière liée à l'investissement en cyber est le manque de connaissance des risques cyber par les dirigeants des entreprises. Tant qu'ils verront la cyber-sécurité comme une ligne de coûts dans un bilan, ils n'auront pas pleinement conscience des risques encourus. On regrette que les RSSI (responsables de la sécurité des systèmes d'information) ne puissent pas déployer les solutions qu'ils souhaitent pour protéger leur entreprise par faute de moyen financier ou humain. In fine, en cas de cyber-attaque poussée, les montants dépensés pour y remédier sont très largement supérieurs au budget qu'il aurait fallu investir pour éviter que l'incident ne se produise». A cet égard, le problème rencontré sur le marché, à de multiples reprises, s'articule autour du caractère inadapté des solutions adoptées par les entreprises. En effet, celles-ci ne sont adaptées ni à la taille et à l'exposition réelle de l'entreprise, ni à leur capacité d'exploiter lesdites solutions. Il s'agit d'une complication supplémentaire, car les entreprises n'en exploitent pas toute la quintessence. Par ailleurs, une inadaptation des solutions déployées est toujours un échec. Si elles sont surdimensionnées, le coût sera trop élevé pour l'exploitation réelle des opportunités de la solution et le ROI (retour sur investissement) sera mauvais.
