En Ille-et-Vilaine, une PME spécialisée dans l’assainissement écologique, victime d’une fraude au virement, bâtit une stratégie cybersécurité complète
Une prise de conscience de la menace cyber à la suite d’une fraude au virement
Comme beaucoup de dirigeants de PME, Edwige Le Douarin a longtemps pensé que la cybersécurité était l’affaire des grandes entreprises et que les pirates ne s’intéresseraient pas à une structure de sa taille. Cette conviction vole en éclats en 2022, quand Aquatiris est victime d’une fraude au virement.
Cette fraude au virement, qui consiste à substituer frauduleusement les coordonnées bancaires d’un fournisseur pour détourner le paiement, est une technique de plus en plus utilisée par les cybercriminels.
Cet épisode fait prendre conscience à la dirigeante de la réalité des menaces cyber qui pèsent sur les TPE et PME : les pirates considèrent les petites entreprises comme des cibles privilégiées, précisément parce qu’elles sont moins bien protégées que les grandes entreprises.
Edwige Le Douarin décide alors de monter en compétences sur ce sujet qu’elle ne maîtrise pas. Elle enchaine des webinaires sur le sujet et suit plusieurs modules de sensibilisation et de formations dédiés à la cybersécurité avant de bâtir une feuille de route structurée pour sécuriser son entreprise.
Une stratégie cyber complète : de la mise à niveau du matériel à la mise en place d’une culture interne
La démarche cybersécurité d’Aquatiris est progressive et couvre l’ensemble du périmètre informatique de l’entreprise.
Le premier chantier est le renouvellement du parc informatique. Après plusieurs années d’activité, des PC sous Windows 7 traînaient encore dans les ateliers, offrant des failles de sécurité majeures. Un investissement de plus de 15 000 € est consenti pour mettre à jour l’ensemble du parc.
En parallèle, l’entreprise fait le choix de migrer les postes informatiques vers la dernière version du système d’exploitation utilisé (Microsoft 365), de façon à offrir un meilleur environnement de travail collaboratif et… de bénéficier de versions bénéficiant des dernières mises à jour de sécurité. Cette bascule exige un temps d’adaptation et de formation pour toutes les équipes.
Troisième axe, fondamental : les sauvegardes. Convaincue désormais qu’aucun système informatique n’est inviolable, Edwige Le Douarin, veut être certaine d’être en mesure de tout restaurer en cas d’attaque. Aquatiris met en place une sauvegarde des données sur une période de 7 ans glissante, avec des solutions de stockage sécurisées.
La protection des mails constitue le quatrième axe. La messagerie étant la principale porte d’entrée des cyberattaques, Aquatiris déploie la solution de l’entreprise française MailInBlack. D’abord perçue comme une contrainte par les collaborateurs, elle est devenue un outil indispensable du quotidien.
Le cinquième chantier porte sur la politique de mots de passe. Face à la multiplication des accès et à l’impossibilité humaine de mémoriser des mots de passe forts et différents pour chaque service, Aquatiris adopte une solution de gestion de mots de passe.
Enfin, sixième axe et condition sine qua non de l’efficacité de tous les autres : la formation et la sensibilisation des collaborateurs. Edwige Le Douarin assure elle-même ces sessions en s’appuyant sur sa propre expérience de la fraude : son récit personnel rend le risque concret et favorise l’adhésion.
Afin de ne prendre aucun risque, l’entreprise décide aussi de souscrire une assurance cyber, pour garantir une indemnisation en cas de préjudice.
Un résultat qui se mesure en efficacité et en sérénité, pas en chiffre d’affaires
Le budget consacré à la cybersécurité est passé de zéro à plusieurs dizaines de milliers d’euros. Le renouvellement du parc représente 15 000 € amortissables sur cinq ans. Les abonnements logiciels annuels atteignent près de 30 000 € par an. L’assurance cyber coûte 5 000 € par an.
Edwige Le Douarin est lucide sur les résultats : à ce stade, l’investissement ne se traduit pas encore par une hausse mesurable du chiffre d’affaires ou du nombre de clients. Mais ce n’est pas l’objectif.
La conviction qui guide la démarche est simple : les pirates iront toujours au plus facile. Protéger son système, c’est se rendre moins attractif que le voisin moins protégé. L’entreprise est sécurisée contre les menaces cyber et leurs impacts sur l’activité voire la survie des TPE PME, victimes d’attaques.
Elle estime, enfin, que ce travail a profité à l’entreprise. Le fait de formaliser ses procédures lui a permise de gagner en efficacité et en sécurité au travail.
.