Les micro-entreprises belges sont extrêmement vulnérables aux cyberattaques : 1 sur 3 n’est pas équipée d’un antivirus. Et 3 sur 4 n’ont pas de pare-feu !

«Pas d’antivirus, un comble ! On aurait tort de croire que les cybercriminels ne lorgnent pas les entreprises de taille modeste. Et donc tort de croire que celles-ci courent moins de risques. Bien au contraire, s’inquiète Philippe Verwerft, CTO et cofondateur de Skyforce. Ces dernières années, nous avons bloqué chez nos clients plus de 730 000 tentatives d’intrusion en ligne. Parmi celles-ci, des agressions très sophistiquées, qui auraient entraîné chez les victimes potentielles une perte totale de leurs données.»

Près d’une micro-entreprise belge (moins de 5 personnes) sur trois n’a pas installé de logiciel antivirus. Et trois quarts travaillent sans pare-feu, peut-on lire dans le baromètre annuel de cybersécurité sur les micro-entreprises belges (3500 managers d’entreprises belges interrogés par Skyforce et Kaspersky).

Les filtres antispam et antispyware ne sont respectivement présents que dans 22 et 19 % des cas. Seuls 13 % des managers interrogés affirment avoir implanté ces quatre techniques de protection. Les autres reconnaissent commettre des erreurs : 57 % d’entre eux attribuent le même mot de passe pour leurs comptes sur les réseaux sociaux et les différents sites web professionnels qu’ils consultent.

Cumuler les fonctions, plus l’IT

La Belgique est un pays de PME. On y recense près de 1,2 million de sociétés comptant moins de 50 travailleurs. Rien que l’année dernière, la proportion de starters et d’entreprises unipersonnelles a fortement augmenté. Toutes régions confondues, plus de 975 000 PME n’ont aucun salarié et 80 000 en ont moins de cinq ans.

«La spécificité de ce type de société, c’est que le fondateur cumule les fonctions : vente, comptabilité, service juridique, administration… Dès lors, assumer en plus la tâche d’expert IT est généralement celle de trop. En conséquence, l’aspect sécurité informatique est souvent négligé. À tort, ils pensent que seules les grandes entreprises sont des proies intéressantes pour les cybercriminels», commente Mathieu Lardinois, Sales Manager et cofondateur de Skyforce.

Une présence digitale, mais…

Pour autant, ces microsociétés ne sont pas des analphabètes du numérique. 68 % d’entre elles ont leur site web, et près de 10 % distribuent des produits et services en ligne ou ont leur propre site d’e-commerce. À vrai dire, les patrons, gérants ou managers sont eux-mêmes familiarisés avec les activités en ligne : 83 % y font régulièrement des achats et 97 % s’en servent pour leurs opérations bancaires.

Mais la grande différence avec les grosses sociétés, c’est la frontière moins nette entre l’usage privé et professionnel des ordinateurs de l’entreprise. 82 % des répondants les utilisent aussi à des fins privées (par exemple pour se connecter sur leurs réseaux sociaux). «C’est une activité innocente en apparence. Mais en apparence seulement, nuance Philippe Verwerft. Les pirates peuvent en profiter pour utiliser les données privées de l’utilisateur à des fins malveillantes, par exemple en déroutant des cookies pour mener une cyberattaque sur la société.»

… guère sécurisée, voire pas du tout 

Dans ces petites entités, la personne à qui incombent les tâches de sécurité informatique n’est pas toujours clairement définie. Dans un tiers des cas… il n’y a personne. Dans une proportion identique d’entreprises, c’est le patron lui-même. Seule une petite minorité (9,6 %) fait appel à un prestataire professionnel externe. Bref, pas de moyens techniques ni humains pour réagir à une cyberagression.

L’étude révèle qu’une petite société a rarement les moyens de réagir rapidement et efficacement à une attaque informatique dont elle serait victime. Les chiffres de ce baromètre montrent qu’un manager (interne ou externe) est en mesure de réagir promptement dans seulement 20 % des cas. Par rapport aux autres PME (40 %) et surtout aux grandes entreprises (72 %), c’est une proportion nettement plus faible de firmes ayant un centre décisionnel pour gestion d’incidents.