Alors que 37% des cyberattaques répertoriées par l'ANSSI visent des petites et moyennes entreprises, Pascal Le Digol, expert en cybersécurité, alerte sur ces PME françaises qui ont à tendance à oublier que les attaques informatiques sont plus que jamais opportunistes.
Les PME françaises, ces entreprises comprenant entre 10 et 249 salariés, sont aujourd'hui 160 000. Elles représentent la majorité du tissu économique, mais restent les grandes oubliées de la cybersécurité. Car ces entreprises, trop nombreuses encore à se croire à l'abri, sont dans le viseur des pirates informatiques, adeptes des attaques dites « opportunistes ».
Pascal Le Digol, directeur de WatchGuard France, a lancé un appel à la sensibilisation lors d'une conférence donnée au salon CyberSécuExpo, où Clubic était présent il y a quelques jours. Entre manque de sensibilisation, prestataires généralistes et budgets contraints, les PME naviguent dans un environnement hostile, où la nouvelle réglementation NIS2 va rebattre (peut-être) les cartes.
Les cyberattaques opportunistes explosent chez les PME françaises
« Moi, je suis une petite boîte en Alsace, il n'y a aucune raison que le pirate m'en veuille ». Voilà le discours dont Pascal Le Digol a horreur. C'est hélas ce que trop de dirigeants de PME pensent. Une erreur fatale, selon l'expert.
Il faut dire que les chiffres parlent d'eux-mêmes. Selon l'ANSSI, l'agence française cyber, 37% des attaques informatiques qu'elle a pu répertorier en 2024 visaient les PME françaises, auxquelles s'ajoutent 17% touchant les collectivités territoriales. « Notre tissu de PME en France est un peu matraqué, très clairement », constate Pascal Le Digol lors de sa présentation au salon CyberSécuExpo.
Cette hécatombe s'explique par une réalité méconnue : « La majorité des attaques sont des attaques opportunistes », martèle l'expert. Contrairement aux idées reçues, les pirates ne ciblent pas spécifiquement leurs victimes. « Souvent les pirates qui leur tombent dessus ne savent même pas, au début, qui elles sont. C'est après qu'ils le découvrent », précise-t-il. L'intelligence artificielle amplifie désormais cette menace diffuse.
L'exemple du spear phishing (une cyberattaque ciblée par e-mail qui a pour but de voler des données) montre bien cette évolution. « Grâce à l'IA, les pirates peuvent faire du phishing assez simplement », explique Pascal Le Digol. Voilà pourquoi de nombreux e-mails personnalisés, générés automatiquement, circulent désormais. « Si on sait que telle personne est abonnée à Netflix, je vous laisse deviner à quoi va ressembler le phishing. » Du ciblage de masse, paradoxalement opportuniste. La référence à Free et au phishing Prime Video est toute trouvée.
Le monde à deux vitesses de la cybersécurité en PME
« Tout est bon dans le piratage », résume Pascal Le Digol, avec une analogie saisissante empruntée à la charcuterie qui fait sourire la salle de l'hôtel Pullman Montparnasse remplie d'experts, comme si celle-ci tombait sous le sens.
L'écosystème cybercriminel s'est en effet professionnalisé comme une véritable industrie. « Aujourd'hui les pirates sont spécialisés, et ils vont se revendre les uns les autres, jusqu'à ce que cela fasse l'argent qu'ils veulent. » Vol de données, ransomware, vente d'accès initiaux, botnets : chaque maillon trouve son profit.
La machine des hackers est bien huilée, et les PME accumulent les handicaps. Certaines « ne sont même pas équipées de firewall ou d'antivirus », des protections basiques d'il y a quinze ans, rappelle Pascal Le Digol. D'autres veulent déployer des technologies avancées comme le NDR, ce système qui surveille le réseau pour détecter des menaces furtives. « On est vraiment sur un monde à deux vitesses », observe l'expert, qui regrette cette fracture technologique béante.
Le problème dépasse la seule technique. « Il y peu d'équipes avec les connaissances cyber adéquates dans les PME », note Pascal Le Digol, face à un participant qui acquiesce une fois de plus. Et le spécialiste d'évoquer aussi des « prestataires de service généralistes, pas forcément experts dans la cyber », qui n'arrangent pas les choses. Arrive donc le moment de parler de la sensibilisation défaillante : « Pour conduire une voiture, on passe un permis. Pourquoi on ne passe pas de permis en informatique », répond alors un spécialiste présent dans l'assistance.
L'approche XDR unifiée comme solution pour les PME vulnérables
Plutôt que d'adapter les solutions complexes des grandes entreprises, Pascal Le Digol prône l'XDR (Extended Detection and Response) unifiée, une approche spécialement conçue pour démocratiser la cybersécurité auprès des PME. Il est vrai que l'XDR unifie la détection et la réponse aux menaces sur plusieurs sources, à savoir le réseau, les endpoints, e-mails, serveurs, etc.
« Prenez une machine qui se met à chiffrer des choses. Si au même moment sur le firewall, il y a une connexion vers un serveur de command and control, ça vous donne quoi comme information ? Que le chiffrement en cours ne sent quand même pas très bon », donne Pascal comme exemple.
Le XDR est une technologie complexe qui automatise un travail fastidieux qui consiste à cartographier les capacités de détection d'une entreprise face aux cybermenaces. Pour comprendre cette approche, il faut connaître la matrice MITRE ATT&CK, un référentiel qui répertorie toutes les techniques d'attaque connues utilisées par les cybercriminels.
« L'objectif du XDR, c'est de 'colorier' cette matrice », explique le Country Manager de WatchGuard France. Concrètement, cela signifie identifier quelles techniques d'attaque votre système de sécurité est capable de détecter et documenter ces capacités case par case. Plus vous « coloriez » de techniques dans cette grille, plus votre couverture de sécurité est complète.
Cette analyse technique, que les PME ne peuvent pas réaliser manuellement, faute de temps et de compétences, se fait désormais automatiquement grâce au XDR. La technologie travaille en arrière-plan pour offrir une visibilité complète sur les menaces détectables, sans que les entreprises aient besoin de maîtriser les subtilités de la cybersécurité.
NIS2, l'arme à double tranchant pour les PME
Pour les petites et moyennes entreprises, l'espoir pourrait paradoxalement venir des prestataires de confiance. Un sondage de WatchGuard révèle que 97% des PME ont confiance en leur prestataire de sécurité pour gérer les cyberattaques. « La solution passe exclusivement par les prestataires de services, par les intégrateurs etc. Ce sont eux qui ont la confiance et doivent propager la bonne parole de la cybersécurité, et l'état de l'art de la cyber », affirme Pascal Le Digol.
Mais attention à NIS2, car cette réglementation européenne ne concernera que 30 000 entreprises alors que les PME sont à elles seules 160 000 sur le territoire. « Quand vous avez entre 10 et 20% des PME qui sont concernées et montent le niveau, qu'est-ce qui se passe pour les autres ? Elles sont plus attaquées », prévient l'expert, qui redoute un dangereux « effet de troupeau ».
Si elle impose des standards élevés aux entreprises les plus critiques, la directive NIS2 risque paradoxalement de creuser un fossé numérique entre les PME « protégées », et celles qui restent vulnérables. Face à cette fracture sécuritaire annoncée, l'enjeu dépasse donc la simple conformité réglementaire. Il s'agit de construire un écosystème où la cybersécurité devient accessible à tous, et non le privilège d'une minorité. Car dans un monde interconnecté, la sécurité de chacun dépend de celle du maillon le plus faible.
