En matière de cybersécurité, la plupart des études se focalisent sur les grandes entreprises. Il est plus rare que les petites et moyennes entreprises se voient intégralement dédier une étude. C’est pourtant ce que propose le dernier rapport GetApp sur les PME face aux ransomwares.

On le sait, le tissu économique français est principalement composé de petites et moyennes entreprises. Et ces dernières ont souvent du mal à appréhender leur cyber-résilience alors que les attaques à la supply chain les ciblent souvent et qu’elles n’ont que très rarement des équipes internes dédiées à la sécurité de leurs opérations numériques.

Alors que les rapports de l’ANSSI et de la CNIL ont récemment rappelé l’importance du phénomène ransomwares en France, les PME se retrouvent souvent très fragilisées par ces attaques contre lesquelles elles ne savent souvent pas bien se prémunir, pas se défendre et sont rarement organisées pour un redémarrage rapide après infection. L’étude GetApp confirme ainsi qu’une PME française sur trois a déjà été victime d’une attaque par ransomware.

Et ces PME portent un regard assez réaliste sur leur manque de préparation. 22% des PME interrogées admettent qu’elles ne se rendraient pas immédiatement compte si une attaque par ransomware se produisait. Or en cas d’attaques par ransomware plus on réagit vite plus on a de chances d’éviter la généralisation de l’attaque et plus on a de chance de préserver des fichiers intacts.

De même 51% des PME françaises sont conscientes qu’une telle attaque aurait de graves répercussions (79% des employés IT de ces PME estiment même qu’une telle attaque serait critique pour l’intégrité de l’organisation).

Un réalisme et un pragmatisme qui permettent finalement à ces PME de mettre en place des bonnes pratiques. L’étude révèle que 98% des PME interrogées disposent d’une sauvegarde de données. En revanche l’étude ne s’est pas intéressée au nombre de PME qui ont réellement essayé de restaurer leur sauvegarde et mener des campagnes de tests.
Par ailleurs 39% des PME ne disposent que de sauvegardes en ligne, alors que celles-ci pourraient potentiellement être compromises par des ransomwares. Elles sont 31% à n’avoir que du hors-ligne et 28% à disposer des deux modes.

De même 75 % des PME interrogées affirment former leurs employés à reconnaître et rapporter les attaques potentielles par ransomware. Toutefois les bonnes pratiques ne sont pas toujours au programme : en effet 40 % des PME les ayant formés ne l’ont fait qu’une à deux fois. Seulement 35 % le font régulièrement. En outre, 26 % des PME n’ont jamais pratiqué la moindre formation sur ce sujet !

On notera au passage que 71 % des PME interrogées déclarent disposer d’un plan de continuité d’activité alors que 29 % n’en ont pas ou n’en sont pas sûrs.

Reste une question cruciale : Les PME ont-elles tendance à payer les rançons ? L’étude fournit plusieurs éléments pour cerner le comportement de ces entreprises après une infection : 56% des PME certifient n’avoir jamais payé de rançon.
Par ailleurs, 40% des responsables de PME interrogés pensent que cela ne garantit pas la récupération de données, 20% considèrent que cela rendrait leur entreprise plus vulnérable à de futures attaques, 17% soupçonnent les hackers de tout de même avoir l’intention de rendre les données publiques.

Pour les PME qui reconnaissent effectivement avoir été contrainte de payer une rançon :

-> 33 % déclarent avoir déboursé entre 10 001 € et 20 000 €,
-> 28 % d’entre elles auraient payé un montant compris entre 20 001 € et 40 000 €
-> 14 % des PME auraient payé des sommes comprises entre 40 001 € et 80 000 €
->   5 % des entreprises ont vu la somme de la rançon dépasser les 80 000 €.