Une PME spécialiste des tubes plastiques victime d'un rançongiciel, une start-up experte de l'intelligence artificielle qui va porter plainte pour la même raison... Personne n'est à l'abri des cyberattaques, pas même les petites organisations qui se croient parfois, à tort, en dehors du viseur des criminels informatiques.

« Tout le monde est devenu une cible mais la première manière de se protéger, c'est une prise de conscience généralisée de la menace », pointait Cédric O, le secrétaire d'Etat au Numérique, lors de la présentation, mardi 20 juillet, d'un nouveau dispositif de prévention du risque et de pédagogie auprès des TPE-PME. Il touchera 1 million d'entreprises.

Baptisé « AlerteCyber », le système s'inspire des alertes météorologiques. « L'artisan de Castelnaudary, la PME de Plougastel ne sont pas au courant des menaces parce que ce n'est pas leur quotidien, mais les réseaux patronaux peuvent leur relayer le message quand il faut réagir pour se protéger », explique Christian Poyau, coprésident de la commission Mutations technologiques et impacts sociétaux du Medef. Egalement PDG de l'entreprise de services numériques Micropole, il est à l'origine du dispositif.

Concrètement, le groupement d'intérêt public Action contre la cybermalveillance (GIP Acyma), très proches de l'Agence nationale de sécurité des systèmes d'information (Anssi), émettra un message d'alerte lorsque de très grosses failles de sécurité sont découvertes sur les outils numériques fréquemment utilisés par les PME. Accompagné de conseils pratiques, ce message sera transféré par les organisations patronales (le Medef, la CPME [Confédération des petites et moyennes entreprises] et l'U2P) à leurs adhérents, via un e-mail.

Un équilibre difficile à trouver

« Depuis le début de l'année, nous aurions pu avertir à trois reprises, notamment lorsque la faille sur le logiciel Exchange de Microsoft a été découverte », illustre Jérôme Notin, le directeur général du GIP Acyma, dont la plateforme Cybermalveillance.gouv promet de mettre en relation les victimes avec 1.100 prestataires de sécurité informatique. L'équilibre à trouver est complexe : trop d'alertes et elles ne seraient plus prises en compte. Pas assez et les PME resteraient exposées à des dangers...

S'il est certain que les cyberattaques sont un risque pour les PME (que le gouvernement appelle à embrasser le monde numérique), l'ampleur du fléau est mal connue. Les plaintes étant rares - le sujet est encore un tabou pour certains patrons victimes -, les études se contentent d'estimations à prendre avec des pincettes. D'après la CPME, 5 à 10 % des entreprises ont déjà été touchées par une attaque informatique. Et d'après Dominique Métayer, le président de l'Union des entreprises de proximité (U2P), « pour les petites entreprises, ces attaques sont mortelles ».