Recherche
S'abonner à la newsletter S'abonner au magazine

4 dirigeants de PME partagent leurs bonnes pratiques en cybersécurité

Publié par Julien van der Feer le

La meilleure protection contre les attaques informatiques ? Elle combine stratégie dédiée, audit et sensibilisation de tous les salariés. Quatre dirigeants de PME témoignent.

Je m'abonne
  • Imprimer

"Le collaborateur a immédiatement prévenu le DSI"

Le cabinet d'expertise comptable et de commissariat aux comptes Afigec a subi une cyber-attaque mi-2016. Heureusement, son équipe a su se montrer réactive. "Le collaborateur, qui a ouvert le fichier malveillant, a eu le bon réflexe en prévenant immédiatement le DSI qui a coupé l'accès au réseau. Évitant ainsi toute viralité ", se souvient Dominique Périer, expert-comptable et commissaires aux comptes associé.

Le dirigeant a également porté plainte dans les heures qui ont suivi l'agression. Car les conséquences d'une telle cyberattaque ne sont pas neutres. Une équipe de sept personnes n'a pas pu travailler pendant deux jours. "Dans ce cas, les collaborateurs reviennent au cours du week-end et nous les payons en heures supplémentaires. Au total, cette attaque a coûté environ 6 000 euros", explique le dirigeant.

Pour lutter contre de nouvelles agressions, les associés ont renforcé la sécurité dans leur cabinet. "Dans les premières heures, l'ordinateur ciblé a été reformaté. Nous avons vérifié notre système d'information et notamment le bon état de toutes les sauvegardes. Puis nous avons réexpliqué les enjeux à l'ensemble de nos collaborateurs dans les différents bureaux, pour les sensibiliser", indique Dominique Périer.

Enfin, le cabinet vient de souscrire un contrat d'assurance couvrant, pour moins de 5 5 000 euros par an, un préjudice de plus de 1,5 million d'euros. Depuis, le cabinet a été victime d'autres tentatives déjouées, comme une fraude au président, démasquée sur le champ par le DAF.

Afigec

Activité : cabinet d'expertise comptable et de commissariat aux comptes
Siège social : Levallois-Perret (Hauts-de-Seine)
Dirigeant : Dominique Périer, expert-comptable et commissaire aux comptes, associé, 51 ans
Statut juridique : SARL
Année de création : 1982
Effectif : 125 salariés
CA 2017 : 12 M €

"Le RGPD oblige à mieux sécuriser les données personnelles"

Le RGPD donne une nouvelle dimension au sujet de la cybersécurité avec deux impacts non négligeables. "Il oblige les entreprises à mieux sécuriser les données personnelles de leurs clients et prévoit des sanctions pouvant aller jusqu'à 2 % ou 4 % du CA en cas de manquement. Plus grave, il les contraint à communiquer en cas d'intrusion, ce qui au plan commercial peut s'avérer dévastateur", s'inquiète Tristan Dessain-Gélinet, dg de Travel Planet.

Or explique ce chef d'entreprise : "le maillon faible, c'est l'humain". Chez Travel Planet un plan d'actions a été mis en oeuvre. Première mesure : le renforcement de la sécurité dans la gestion des données et des transactions. "Nous avons investi dans un système permettant la mise à jour automatique des logiciels chaque nuit au niveau de notre réseau local. Et nous avons chargé un informaticien de la surveillance de ces opérations", explique-t-il.

Par ailleurs, la protection des accès aux transactions automatisées et logées chez un hébergeur extérieur a été musclée. "L'architecture globale du système a été repensée. Un plus haut niveau de sécurisation implique de minimiser le nombre d'entrée, donc d'accepter davantage de contraintes. Mais nos collaborateurs ont parfaitement compris les enjeux", confie Tristan Dessain-Gélinet.

Enfin, "les données personnelles étant vulnérables parce que monnayables, la chaîne de sécurité doit s'étendre aux partenaires de l'entreprise. Nos clients envisagent d'ailleurs d'ajouter des clauses contractuelles sur ces sujets", indique encore Tristan Dessain-Gélinet. Bref, tout l'écosystème de la PME est concerné. "L'enjeu majeur consiste à rendre compatible les solutions de sécurité et la production", résume le patron. Un arbitrage entre verrouillage et souplesse.

Travel Planet

Activité : agence de voyage B to B
Siège social : Lille (Nord)
Dirigeant : Tristan Dessain-Gelinet, dg de Travel Planet
Statut juridique : SAS
Année de création : 2010
Effectif : 90 salariés
CA 2017 : 100 M€

"L'investissement en cyber-sécurité devient un argument commericial"

"La question de la cybersécurité se pose, pour nous, à deux niveaux : en tant qu'entreprise, mais aussi en tant qu'éditeur commercialisant un logiciel en ligne de suivi clients à 360°. Nous stockons donc nos propres données, ainsi que celles de nos clients", explique Alain Mevellec, dg de Sellsy. Se préparant à l'entrée en application du RGPD, Sellsy a recruté une responsable juridique en mars 2017, nommée CIL (correspondant informatique et libertés) au mois d'octobre pour assurer la conformité en mettant en oeuvre les procédures adéquates.

Elle s'assure notamment que toutes les précautions sont prises pour préserver la sécurité des données des personnes concernées et empêcher qu'elles soient déformées, endommagées ou que des personnes non autorisées y aient accès. Conscient de ses responsabilités, le dirigeant de Sellsy a calé une stratégie au millimètre. "Les données sont sauvegardées dans un data center basé à Paris, mais deux autres lieux de stockage - tenus secrets - existent et un système de plan de reprise d'activité est prêt à démarrer à tout moment", déclare-t-il.

Sellsy rémunère également des hackers pour corriger les éventuelles failles de son système. "L'investissement en cybersécurité est important, mais devient un argument commercial pour nous, car les données de nos clients sont plus en sécurité chez nous que chez eux", précise-t-il. Aussi, sans briser l'agilité nécessaire au développement de sa solution, Sellsy passe ses données à la moulinette du RGPD et essaie d'être didactique avec ses propres clients. "Mieux vaut réduire les volumes et ne gérer que les données de contacts réellement engagés, tout en les sécurisant", recommande l'éditeur.

Sellsy

Activité : Éditeur de solution de pilotage de la relation client
Siège social : La Rochelle (Charente-Maritime)
Dirigeant : Frédéric Coulais, 50 ans, président
Statut juridique : SAS
Année de création : 2009
Effectif : 50 salariés
CA 2016 : 2,4 M €

"Il faut se méfier d'un changement d'IBAN"

Victime d'une attaque Fovi (Faux ordres de virements internationaux) en 2015, Hervé Dupont, gérant de dbvetpro, a souhaité fonder une association dédiée aux victimes d'attaques similaires. "Il s'agit de "Les victimes au Vovice (Vrai Ordre de Virement à l'International sur le Compte de l'Escroc) des banques" via la Barclays bank. J'ai recensé une centaine de victimes pour un préjudice de plus de 20 millions d'euros, entreprises et particuliers confondus. Il s'agit d'une arnaque simple : le pirate intercepte un e-mail contenant une facture à payer envoyée par le fournisseur, modifie l'IBAN du destinataire, la réexpédie au client et reçoit le virement sur un compte rebond. L'argent disparaît ensuite immédiatement", explique Hervé Dupont.

Deux virements de 18 000 et 33 000 dollars ont ainsi été piratés. "Les banques anglo-saxonnes sont peu scrupuleuses en matière d'ouverture de compte, aussi les escrocs en ouvrent facilement en ligne depuis l'étranger", dénonce ce dirigeant. Pour lui, la faille vient aussi du fait que "les banques n'ont plus l'obligation, depuis 2010, de vérifier la cohérence entre le nom du bénéficiaire et l'IBAN, ni entre l'IBAN et l'adresse du destinataire."

Or l'IBAN n'est qu'une série de chiffres qui n'a aucune signification pour celui qui doit effectuer le virement. Pour se protéger, Hervé Dupont recommande à ses pairs de vérifier eux-mêmes les données par un autre moyen que l'e-mail. "C'est contraignant, mais si un fournisseur nous informe d'un changement d'IBAN, nous lui téléphonons afin de vérifier la véracité de l'information", conclut-il. Il faut rester vigilant.

dbvetpro

Activité : entreprise de fabrication de vêtement professionnel
Siège social : Annoeullin (Nord)
Dirigeant : Hervé Dupont, gérant, 46 ans
Statut juridique : SARL
Année de création : 1939
Effectif : 40 salariés
CA 2017 : 13,5 M €

Julien van der Feer

Julien van der Feer

Rédacteur en chef

Directeur des rédactions de six médias BtoB (Action Co, Be a Boss, DAF Magazine, Décision Achats, Ekopo et Maison&Travaux Pro), j'écris [...]...

Voir la fiche

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

Chef d'Entreprise Newsletter

Artisans Newsletter

Commerce Newsletter

Event

Event

Event

Les Podcasts de Chef d'Entreprise

Lifestyle Chef d'Entreprise

Artisans Offres Commerciales

Chef d'Entreprise Offres Commerciales

Commerce Offres Commerciales

Good News by Netmedia Group

Sur le même sujet

Retour haut de page