Le dernier rapport de Kaspersky sur les menaces pesant sur les PME fait état d’une réalité persistante et inquiétante : les cybercriminels continuent de cibler les PME en recourant à toutes sortes de méthodes sophistiquées. Le rapport révèle que le nombre d’employés de PME rencontrant des logiciels malveillants ou indésirables déguisés en applications professionnelles légitimes est resté relativement stable d’une année sur l’autre (2 478 en 2023 contre 2 572 en 2022), et que les cybercriminels persistent dans leurs efforts pour infiltrer ces entreprises.

Les fraudeurs emploient une multitude de méthodes, notamment l’exploitation des vulnérabilités, l’utilisation d’e-mails de phishing, de SMS trompeurs et même de liens YouTube d’apparence inoffensifs, le tout dans le but d’obtenir un accès non autorisé à des données sensibles. Cette tendance préoccupante souligne le besoin urgent de renforcer les mesures de cybersécurité pour protéger les PME contre les attaques incessantes des cybermenaces. Le rapport révèle que le nombre total de détections de ces fichiers malveillants visant les PME au cours des cinq premiers mois de 2023 a atteint 764 015.

L’exploitation de vulnérabilités a constitué la menace la plus répandue pour les PME, représentant 63 % (483 980) de toutes les détections au cours des cinq premiers mois de 2023. Ces programmes malveillants ciblent les vulnérabilités logicielles, permettant aux cybercriminels d’exécuter des logiciels malveillants, d’accroître leurs privilèges ou d’entraver le fonctionnement d’applications critiques sans qu’aucune interaction avec l’utilisateur ne soit nécessaire.

Les menaces de phishing et d’escroquerie représentent également un risque important pour les PME, les cybercriminels sachant habilement tromper les employés pour qu’ils divulguent des informations confidentielles ou qu’ils soient victimes d’escroqueries financières. Parmi ces tactiques trompeuses, on trouve les fausses pages de services bancaires, de livraison et de crédit conçues pour tromper les personnes peu méfiantes.

En outre, le rapport de Kaspersky attire l’attention sur une méthode fréquemment utilisée pour infiltrer les smartphones des employés, appelée "smishing" - une combinaison rusée de SMS et d’hameçonnage. Cette technique consiste à envoyer à la victime un message texte contenant un lien, distribué par le biais de diverses plateformes telles qu’un SMS, WhatsApp, Facebook Messenger, WeChat, etc. Si l’utilisateur peu méfiant clique sur le lien intégré, son appareil devient vulnérable au téléchargement de code malveillant, ce qui compromet sa sécurité.

Les données rapportées ont été collectées de janvier à mai 2023 via le Kaspersky Security Network (KSN), un système sécurisé de traitement des données anonymisées relatives aux cybermenaces volontairement partagées par les utilisateurs de Kaspersky. Les experts de Kaspersky ont passé au crible les logiciels les plus utilisés par les PME du monde entier, notamment MS Office, MS Teams et Skype. En croisant ces logiciels avec les données télémétriques de KSN, les chercheurs ont déterminé l’étendue des logiciels malveillants et indésirables distribués sous le couvert de ces applications.

"Les vulnérabilités auxquelles sont sujettes les PME exigent une attention soutenue. Ces entreprises constituent le socle de l’économie dans la plupart des pays, il est donc essentiel que les gouvernements et les organisations redoublent d’efforts pour les protéger. La sensibilisation et l’investissement dans des solutions de cybersécurité robustes doivent devenir une priorité absolue pour protéger les PME de l’évolution des cybermenaces", commentent les experts en sécurité de Kaspersky.

Pour consulter le rapport complet et en savoir plus sur les cybermenaces auxquelles sont confrontées les PME, rendez-vous sur Securelist.com

Pour protéger votre entreprise contre les cybermenaces, veuillez suivre ces lignes directrices :

• Mettez en place une formation de base pour sensibiliser votre personnel aux bonnes pratiques en matière de cybersécurité. Organisez une simulation d’attaque par hameçonnage pour vous assurer qu’ils savent reconnaître les e-mails de phishing.
• Optez pour une solution de protection avec des fonctionnalités anti-phishing pour les terminaux et les serveurs de messagerie, comme Kaspersky Endpoint Security for Business ou Cloud-Based Endpoint Security, afin de minimiser les risques d’infection par phishing.
• Si vous utilisez le service cloud Microsoft 365, n’oubliez pas de le protéger également. Kaspersky Security for Microsoft Office 365 dispose d’un anti-spam et d’un anti-phishing dédiés, ainsi que d’une protection pour les applications SharePoint, Teams et OneDrive afin de sécuriser les communications professionnelles.
• Mettez en place une politique d’accès aux ressources de l’entreprise, notamment aux boîtes mail, aux dossiers partagés et aux documents en ligne. Tenez-la à jour et supprimez l’accès si un employé n’en a plus besoin pour faire son travail ou lorsqu’il quitte l’entreprise. Utilisez un logiciel de gestion de la sécurité de l’accès aux services en nuage qui peut vous aider à gérer et à surveiller l’activité des employés dans les services cloud et à mettre en œuvre des politiques de sécurité.
• Effectuez des sauvegardes régulières des données essentielles pour garantir la sécurité des informations de l’entreprise en cas d’urgence.
• Faites appel à des services professionnels pour optimiser l’efficacité de vos ressources en matière de cybersécurité. Les nouveaux packs de services professionnels Kaspersky pour les PME permettent de s’appuyer sur les experts de Kaspersky pour l’évaluation, le déploiement et la configuration : il suffit d’ajouter les packs au contrat, et les experts font le reste.