Les cyberattaques sont aussi présentes qu'abstraites. Ce danger fait beaucoup parler de lui, il est bien connu de tous, pourtant il continue d'apparaître comme une menace fantôme. "Le nombre d'attaques augmente chaque année, pour une entreprise la question n'est pas de savoir si elle va être visée mais plutôt quand", expose Olivier Constant, délégué régional dans le Sud et en Corse de l'association française de normalisation (Afnor). Cette dernière, dans le cadre d'un appel à projet de BPIFrance, lance en juin une vaste opération de sensibilisation au risque cyber pour les PME et TPE.

Des profils particulièrement vulnérables. "Les attaques qui ont pour but de prendre de l'argent sont plus rentables sur des TPE ou PME que sur des grands groupes préparés à cela", résume Thomas Kerjean, à la tête de Mailinblack, basée à Marseille. Passer par ces structures peut aussi permettre d'atteindre les plus grosses entreprises pour qui elles sous-traitent. Pour une société, il faut donc se protéger soi, mais aussi les données de ses clients. Compte tenu du tissu économique de la région composée principalement de ce profil d'entreprise, l'enjeu est d'autant plus important.

Si c'est l'Afnor qui se charge de cette mission c'est parce qu'en plus d'établir des normes elle a aussi une compétence de formation. "Nous traitons le sujet du risque depuis longtemps. La performance d'une entreprise c'est sa capacité à identifier, hiérarchiser, prévenir et au besoin à traiter les risques. Nous aidons les sociétés à l'ensemble de ces problématiques", explique Olivier Constant. Pour le dirigeant, sur les questions de cyber le principal manque au sein des entreprises est l'absence de sensibilité à ces questions auprès des collaborateurs ou dirigeant. Une vision que partage Jean Larroumets, PDG de l'éditeur de logiciels dans le pilotage du risque cyber Egerie et président de la French Tech Toulon. "Nous avons du mal à faire prendre conscience de ce danger car il n'est pas palpable car peu d'entreprises l'ont vécu et celles touchées n'en parlent pas forcément", constate-t-il.

Sensibiliser et agir

L'opération de sensibilisation de l'Afnor se donne comme objectif de permettre aux dirigeants de se donner les moyens d'agir pour leur cybersécurité. "Nous ne demandons pas des investissements faramineux", prévient Olivier Constant qui préfère "sensibiliser aux usages". Pour vulgariser la démarche, on peut faire le parallèle avec l'énergie où l'on apprend à adopter des réflexes comme éteindre la lumière en sortant d'une pièce ou fermer le robinet d'eau en se brossant les dents. "C'est la même chose sauf qu'il s'agit de se déconnecter des serveurs, ne pas renvoyer l'email, ou encore vérifier les interactions auprès des fournisseurs ou clients", confirme le directeur régional.

Une approche qui ne suffit pas selon Thomas Kerjean, dont la société propose des simulations d'attaques pour mesurer l'impact de ces dernières et les défaillances individuelles. "Conduire ne s'apprend pas avec un manuel. Il faut que cela soit expérimental, l'apprentissage passe par les erreurs", estime le dirigeant qui revendique une baisse de 47% du taux de vulnérabilité au sein des entreprises après six simulations. L'Afnor ne se ferme pas à ce type de démarche. "Les entreprises peuvent bien sûr aller plus loin, mais nous voulons d'abord qu'elles se rendent compte de la menace", résume Olivier Constant.  Son parcours de formation se décline d'ailleurs en trois niveaux, les points de vigilance à identifier, la sensibilisation des équipes et les mesures organisationnelles à mettre en place.

Maintenir l'activité malgré une attaque

En plus de la protection, l'idée est aussi de mettre en avant les solutions pour maintenir l'activité. "Il faut réfléchir en amont à ce qu'il faut faire en cas d'attaque, être touché ne signifie pas être à l'arrêt", souligne le directeur régional de l'Afnor. Pour permettre la continuité de l'entreprise, les solutions les plus basiques et simples sont de prévoir des sauvegardes de ses fichiers et d'exporter son carnet client. "Il faut prévoir ce qui pourrait ne plus fonctionner et anticiper que ces données puissent être détruites", avance Jean Larroumets.

Faut-il créer une norme sur la sécurité informatique ? "Oui, il en existe déjà une avec à l'international l'ISO 27001 mais elle nécessite des investissements importants, il faudrait peut-être un niveau intermédiaire", estime le dirigeant d'Egerie. Une démarche qui pourrait bien aider à la prise de conscience générale.