La cyber sécurité est un sujet qui, souvent, ne figure pas parmi les principales préoccupations des dirigeants de PME–PMI, logiquement d'abord impliqués dans la stratégie de leur entreprise et le développement de leur CA. Nous avons rencontré Yuliya Morenets, directrice de l’association de droit français et de droit alsacien–mosellan, TaC - Together against cybercrime International, spécialisée dans la lutte contre la cybercriminalité, qui souhaite sensibiliser tous les patrons sur ce sujet.
Conquérir : Tout d’abord, pouvez-vous nous préciser davantage le cadre des activités de votre association ?
Yuliya Morenets : Nous sommes une association internationale de lutte contre la cybercriminalité, confortée par des experts en la matière auprès du conseil de l’Europe, qui dispose du seul instrument juridique en la matière, à travers une convention spécifique. Nous intervenons principalement de trois manières :
La formation, par le biais d’un logiciel éducatif, destiné en particulier aux dirigeants d’entreprises, afin de les guider dans la manière de sécuriser leur réseau.
La sensibilisation de la jeunesse à la lutte contre la cybercriminalité. Cette action est appuyée par l’industrie de l’Internet.
L’assistance aux victimes de la cybercriminalité – hors du volet technique – afin d’aider les victimes à recouvrer une partie de leurs pertes financières liées à des intrusions dans leurs réseaux informatiques.
Conquérir : Y a-t-il un danger spécifique pour les PME–PMI ?
Yuliya Morenets : Oui, car ce n’est pas la première préoccupation de leurs dirigeants et qu’ils n’ont pas, en général, de responsable dédié à la sécurité des réseaux informatiques. Or, ces réseaux peuvent s’avérer très fragiles. On peut se faire détourner des bases de données entières, les données personnelles des collaborateurs, les coordonnées bancaires de clients… Aucune entreprise n’est vraiment à l’abri de ces pratiques. Le danger est d’autant plus grand que l’on dispose d’un savoir-faire particulier, ou que la nuisance causée par l’intrusion peut causer une perte commerciale. Pour être très concrète, j’évoquerai trois exemples. D’abord, celui d’une société finlandaise fabriquant des lampes renommées internationalement, qui subit au quotidien les contrefaçons de ses produits, qui peuvent être facilitées par la capture de données dans ses bases par les contrefacteurs ou leurs complices, et même de vols de prototypes, afin de se procurer, dès que possible, un nouveau design.
Ensuite, il me vient à l’esprit le cas d’un hôtel de luxe en Autriche, dont le système informatique avait été bloqué à la suite d’une intrusion, avec une demande de rançon à la clé. Comme les chambres s’ouvraient et se fermaient avec des cartes dont le contrôle était assuré informatiquement, vous imaginez le problème… A la fois ponctuellement et pour la réputation de l’établissement.
De nombreuses activités peuvent être touchées. Je pense ainsi à une PME qui commercialise des pochettes pour les cahiers, dont la marque est déposée et le design spécifique. Elle peut se voir dérober le fichier clients, voire des RIB, des coordonnées bancaires… Et cela se revend malheureusement sur le marché « noir ».
Conquérir : Comment se prémunir au mieux de ces possibles désagréments ?
Yuliya Morenets : Il faut avant tout établir une stratégie de sécurité informatique bâtie avec des professionnels. Une plate-forme efficace a été mise en place par l'Etat français, qui recense des informations spécifiques mais aussi des listes d’avocats, ou d’associations spécialisées comme la nôtre. Ensuite, il est impératif de former ses salariés, par exemple à l’aide d’un logiciel comme celui que nous avons construit, ou de sessions de formation externe. Bien des mésaventures pourrait être évitées de cette façon (mots de passe trop faciles à identifier, ouvertures intempestives de mails par un collaborateur…). La prévention est donc essentielle !
Conquérir : Et si l'accident arrive malgré tout ?
Yuliya Morenets : On va essayer de récupérer le maximum de données grâce à un bon informaticien. En parallèle, on portera plainte auprès de la gendarmerie, à travers désormais une plate-forme officielle et plutôt protégée. Trop souvent, auparavant, PME ou particuliers étaient découragés par la procédure classique de dépôt de plainte. Cela étant, la procédure est ensuite longue et coûteuse, avec des résultats incertains, puisque les cybercriminels sont souvent difficiles à identifier et, en tout état de cause, la plupart du temps loin de France. Une association comme la nôtre peut aider l’entreprise victime à récupérer une partie des dommages grâce à son expertise.
Propos recueillis par la rédaction de Conquérir.