D’après le rapport Ponemon “Cost of Cyber Crime study 2014”, les attaques web font partie des cyber-risques auxquels sont particulièrement exposées les petites entreprises. Pourquoi ce phénomène?

Alors que de nombreuses TPE-PME, accaparées par d’autres priorités, ne pensent pas être une cible intéressante pour les hackers, ceux-ci profitent au contraire de la situation. Et les raisons de pirater une petite entreprise ne manquent pas!

1. Manque de sensibilisation et d’intérêt pour la gestion des risques

Dans l’ensemble, les petites entreprises semblent attacher assez peu d’importance aux cyber-risques (web et non-web). Probablement car les entrepreneurs préfèrent se focaliser sur les opportunités que sur les menaces!

De plus, créer un poste dédié à la sécurité est un non-sens tant que l’entreprise n’a pas atteint une taille critique. Au sein des petites structures, la sécurité web est donc gérée par des non-spécialistes, qui n’ont pas forcément beaucoup de temps à y consacrer au vu de leur agenda déjà bien chargé.

Illustration - Penser à la sécurité

2. Pas de compétences ni de budget sécurité

En l’absence d’un spécialiste affecté à ce sujet, le budget consacré à la sécurité web est généralement assez faible (voire inexistant).
Et les entreprises qui investissent peu dans la protection de leurs « actifs” web sont plus faciles à attaquer, ce qui attire les hackers!

Lorsque Vaadata réalise des audits de sécurité sur des sites web vulnérables, il nous arrive de prendre le contrôle total d’un serveur en seulement quelques minutes.
Prendre le contrôle d’un serveur permet à des personnes mal intentionnées d’avoir un serveur de plus dans leur parc de “zombies », pour envoyer du SPAM, héberger des virus ou encore mettre en ligne des sites frauduleux.

3. Des petites entreprises interconnectées à des grands-comptes

Les petites entreprises sont rarement isolées, et leurs partenaires de taille peuvent être la cible finale des cyber-attaquants.
En effet, attaquer un sous-traitant ou un prestataire bien choisi permettra d’accéder à des documents confidentiels, et à des mots de passe de connexion pour des extranets ou des serveurs de fichiers.

Interconnexions - illustration

Attaquer un site internet permet aussi d’attaquer les navigateurs web connectés au site, pour avoir accès à d’autres informations confidentielles et espionner les salariés.

4. Les attaques web sont peu risquées

Le web permet aux hackers de réaliser des attaques depuis n’importe quel lieu, à partir d’une simple connexion. Ils sont rarement interpellés car remonter à la source des attaques nécessite des moyens que les entreprises ne sont pas forcément prêtes à investir.

En plus d’être peu risquées, les attaques web sont rémunératrices. Avec la revente de données personnelles et bancaires, les accès serveurs, le spam ou plus directement le détournement de flux financiers, les pirates ne manquent pas de motivations!
En résumé, la mise en place de mesures de cyber-protection s’impose à toutes les entreprises, y compris les TPE-PME.
Il ne s’agit pas de déployer un arsenal militaire, ou des moyens de protection disproportionnés, mais de faire peu à peu évoluer vos applications web vers plus de professionnalisme, pour protéger votre savoir-faire et rassurer vos clients et partenaires.