Cybermalveillance, CYBIAH, MonAideCyber : découvrez les aides et subventions pour protéger votre entreprise (TPE/PME) des cyberattaques

De nombreux dispositifs publics de sensibilisation & d'information à la cybersécurité sont disponibles gratuitement pour les TPE & PME. On fait le point.

Dispositifs d'aide et subvention publiques pour diagnostic cybersécurité gratuits à destination des TPE PME et collectivité

De nombreuses aides et subventions existent pour aider les TPE, les PME et les collectivités locales à améliorer la sécurité de leur système d’information. Dès lors, le principal enjeux pour le dirigeant est de comprendre quel dispositif peut être activé compte tenu de ses besoins (sensibiliser ses salariés, améliorer sa posture de sécurité, réaliser un diagnostic de cybersécurité, répondre à une menace cyber) et de la nature de son activité.

Parmi les principaux dispositifs visant à renforcer la protection cyber des entreprises, je vous propose de voir un peu plus en détail ceux qui selon moi sont les plus pertinents :

  • Cybermalveillance.gouv.fr : prévention et assistance aux victimes de cybermalveillance
  • CYBIAH : protection des TPE, PME et des collectivités de la région Ile-de-France (mais pas que)
  • MonAideCyber : diagnostic gratuit de cybersécurité pour les entreprises

Pourquoi des aides et subventions cyber dédiées aux TPE et PME ?

Les petites et moyennes entreprises sont de plus en plus exposées aux risques cyber et constituent des cibles privilégiées pour les hackers. En 2022, elles ont été la cible de nombreuses cyberattaques, représentant jusqu’à 40 % des cas de rançongiciels signalés à l’ANSSI. Les hackers exploitent souvent les failles de sécurité présentes dans leurs systèmes informatiques, souvent moins bien protégés que ceux des grandes entreprises.

De plus, de nombreuses PME et ETI doivent s’engager dans des démarches de sécurisation et de normalisation de plus en plus poussées pour répondre aux exigences des grands groupes, eux-mêmes soumis à de nouvelles réglementations et de nouvelles obligations (directive NIS2, règlements RGPD et Dora…).

Améliorer la sécurité de son système d’information alors que l’entreprise ne dispose ni de budget dédié à la cybersécurité, ni des compétences en interne peut sembler une mission impossible. Pourtant, des dispositifs publics existent et permettent à la TPE et à la PME de se lancer dans une démarche d’acculturation à la cybersécurité à moindre frais. En effet, la majorité des programmes mentionnés ici est pré-financée par des organismes publics : Union Européenne, Métropole du Grand Paris, Région Ile-de-France…. D’ailleurs, l’aide ne se limite pas à la région IDF. En effet, de nombreuses régions Françaises accompagnent le tissue économique local à se préparer au risque cyber. N’hésitez pas à vous renseigner auprès de votre conseil régional, de BPI France ou encore de votre CCI.

Les chiffres clés de la cybersécurité pour les PME. Coût d'une attaque 120 000€

Cybermalveillance.gouv.fr : 3,7 millions de visiteurs et 280 000 demandes d'assistance

Le dispositif Cybermalveillance a pour missions d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cyber-malveillance, de les sensibiliser au risque cyber, de les informer sur les menaces numériques et les moyens de s’en protéger.

Directeur général de Cybermalveillance.gouv.fr depuis sa création en 2017, Jérôme Notin en est le Directeur Général. Il rejoint l’ANSSI en 2016 pour préparer le lancement de ce dispositif national. Fort d’une longue expérience dans la sécurité numérique, il y développe une expertise en pilotage de projets, stratégie et management, notamment chez des éditeurs de logiciels de sécurité et des opérateurs télécoms. Dans le podcast Safe & Sound de CYBIAH, Jérôme Notin revient sur les missions de Cybermalveillance qui s’articulent autour de trois axes : l’assistance aux victimes, la prévention et l’observation de la menace.

  • En 2023,  3.7 millions de visiteurs ont pu découvrir les 500 contenus disponibles sur Cybermalveillance.gouv.fr dont la fréquentation se stabilise.
  • En parallèle, 280 000 demandes d’assistance ont été enregistrées via l’outil de diagnostic en ligne, avec une augmentation de +13 % pour les particuliers et +17 % de la part des collectivités. 
  • Un budget d’un peu plus de 2M d’euros pour couvrir les frais liés aux locaux, à une partie du personnel, etc…

 

Une stratégie de production de contenu

L’entité produit des contenus aussi bien pour les particuliers que pour les professionnels et les collectivités. Ces contenus sont diffusés en source ouverte et peuvent être personnalisés au logo de l’entreprise avant diffusion. Ils peuvent prendre différentes formes, statiques (PDF, etc..) et dynamiques (vidéos, même humoristiques). Les fichiers sources peuvent être partagés à ceux qui en font la demande.

Le dispositif AlerteCyber

Le dispositif AlerteCyber, lancé en juillet 2021, à l’initiative d’un collectif d’organisations professionnelles mené par le MEDEF, s’inspire du dispositif connu d’alerte enlèvement. Il a pour objectif d’accompagner les entreprises de toutes tailles face à la menace, les informer et les inciter à prendre les mesures qui s’imposent pour se protéger. Les vulnérabilités sont identifiées et qualifiées en fonction de quatre critères : un score de dangerosité élevé, une vulnérabilité qui est exploité, qui touche potentiellement beaucoup d’utilisateurs et pour laquelle une solution de remédiation existe. Cette alerte est ensuite distribuée à l’ensemble des adhérents, qui va des membres du MEDEF, de la CPME, l’UDP, à l’association des maires de France…Un partenariat avec BFM Business a également été passé pour permettre la diffusion de l’alerte sous forme de bandeaux d’information. Depuis sa création, 13 alertes ont été diffusées.

ANSSI vs. Cybermailveillance : qui fait quoi ?

Toutes les structures régulées (par la Loi de Programmation Militaire, ou encore les entreprises soumises à NIS et NIS2) sont du champ de compétence de l’ANSSI pour la partie assistance. Pour la partie prévention, l’ensemble des entreprises, de toutes tailles, pourront se tourner vers le site de Cybermalveillance qui regorge d’information éducative et de prévention.  

État de la menace cyber

Cybermalveillance a reçu 280 000 demandes d’assistance l’année dernière uniquement. L’hameçonnage est très présent, majoritairement via courriel, mais de plus en plus par SMS (arnaque antai, mise à jour de la carte vitale, le colis qui ne rentre pas dans la boite aux lettres et le message qui vous invite à payer 2€ ou 3€ par carte bancaire). Pour Jérôme Notin, cela ne fait pas de doute, nous sommes face à une mafia très bien structurée : une équipe spécialisée dans la vente d’outils techniques, une autre dans l’exploitation de kit d’hameçonnage, encore une dans la revente de la donnée, puis une spécialisée dans la fraude au faux conseillé bancaire « M, Mme, vous êtes victime d’escroquerie sur Internet, ne vous inquiétez pas…. ».

Pour les entreprises, le rançongiciel constitue la menace la plus sérieuse et la plus répandue. Sur 2023, 16,6% des parcours sur Cybermalveillance concernait des entreprises victimes de rançongiciel (+8% versus 2022). Avec des conséquences fatales : blocage de livraison, paralysie du système de facturation, risque psychologique…

L’impact de l’IA sur la menace cyber

Les cybercriminels n’ont pas attendu les progrès de l’Intelligence Artificielle pour opérer. Mais l’IA permet d’hyper industrialiser la pratique. À l’étranger, les médias se sont fait l’écho de deepfake vidéos et fraude au président, mais pas d’attaque identifié utilisant des outils d’IA pour des attaques extrêmement évoluées en France à date. Nous assistons plutôt à des attaques faiblement complexes comme la correction de fautes d’orthographe dans les courriels de phishing.

Niveau de maturité des collectivités et des entreprises à la menace cyber

La grande majorité des chefs d’entreprise considèrent qu’ils ne sont pas forcement une cible prioritaire, ne possédant pas énormément d’argent. Malheureusement, lors d’attaques au chalut (attaque ciblant un maximum d’entreprises), le risque est grand d’être pris dans les filets. Les PME ont également tendance à  négliger la valeur de leurs données, qui une fois encryptées, seront revendues à des tiers.  Dès lors, il est importance d’expliquer au chef d’entreprise la menace sans être trop anxiogène.

Médiatisation des attaques ?

Les mutuelles de santé, France Travail, puis la Fédération Française de Football ont été les dernières victimes médiatisées de cas de violation de données. On pourrait ainsi être tenté de se dire que seuls les gros sont attaqués. C’est naturellement une illusion, particulièrement dangereuse.

Les futurs projets de Cybermalveillance.gouv.fr

  • Offrir une plateforme qui puisse identifier les menaces, qualifier, trouver les partenaires et mise en relation avec policier et gendarmes qui vont accompagner à la judiciarisation de la plainte.
  • Filtre anti-arnaque : qui analyse le SMS reçu par l’utilisateur et qui avertira que le site visité est risqué.
Vous pensez être victime d'une cybermalveillance ?

Le dispositif CYBIAH

Financée par l’Union Européenne et la Région Ile-de-France, CYBIAH est un Hub Européen d’innovation Digitale (ou EDCH pour European Digital Innovation Hub) destiné à renforcer la sécurité numérique des TPE, PME et des collectivités.

Le dispositif propose un accompagnement complet : évaluation des besoins, diagnostic personnalisé, recommandations concrètes et solutions adaptées pour les petites et moyennes entreprises. Le dispositif est sans reste à charge (préfinancé, donc « gratuit ») pour les entités basées en Ile-de-France (car la région IDF contribue financièrement). Pour bénéficier de l’accompagnement, l’entreprise doit avoir entre 2 et 250 salariés et réaliser un chiffre d’affaires annuel de moins de 50M d’euros et ne pas être une filiale. Les entités hors Ile-de-France peuvent potentiellement bénéficier du dispositif, avec un reste à charge de 50%.

 

Le parcours Cybiah se compose de quatre étapes:

  1. Sensibilisation à la cybersécurité : évaluation du contexte et de la stratégie de l’entreprise, accompagnement dans la sensibilisation et la sécurisation du système d’information.
  2. Évaluation de la maturité cyber : Évaluation sans intrusion, à partir de données publiques sur Internet (OSINT, ou recherche d’information en source ouverte), exposition aux risques cyber de l’entreprise auditée et comparaison des performances individuelles avec les entreprises du même secteur d’activité.
  3. Diagnostic adapté aux besoins : Réalisation d’un état des lieux exhaustif de la sécurité du système d’information de l’entreprise. Identification des principaux risques à couvrir, et définition d’actions concrètes pour les traiter. Une feuille de route opérationnelle est élaborée, intégrant toutes ces mesures.
  4. Offre de services et de solutions : Accès au catalogue de solutions et services mis en place par Cybiah avec des partenaires : Modules de sensibilisation, formations, conseil et expertise, briques technologiques, recherche de financement à l’innovation… Attention, cette partie-là n’est pas financée par le dispositif Cybiah.

A l’heure actuelle, Cybiah a déjà accompagné plus de 80 entreprises, sur un objectif de 150 entreprises. Il reste donc des places !

Faire une demande d'accompagnement

MonAideCyber, le diagnostic cyber gratuit

Le dispositif MonAideCyber s’adresse aux entités privées comme publiques, de toute taille. Elles sont déjà sensibilisées au risque cyber et souhaitent s’engager dans une première démarche de renforcement de leur sécurité numérique.

À l’inverse, il n’est pas adapté aux particuliers, aux entreprises mono-salariés et aux auto-entrepreneurs, ainsi qu’aux entités jugées d’un bon niveau de maturité cyber (exemple : entité ayant déjà menée des audits de cybersécurité ou disposant des ressources cyber en interne).

Le parcours du dispositif MonAideCyber

 

  1. Mise en relation avec un aidant : À la suite de la demande et de la validation des conditions générales d’utilisation, le demandeur est mis en lien avec un Aidant de proximité, qui accompagne l’entreprise (sur une durée d’environ une heure et trente minutes) pour réaliser un diagnostic de maturité cyber de premier niveau. À cette occasion, il est fortement recommandé d’associer le responsable informatique et/ou le prestataire cyber, ainsi qu’un décideur. Étant moi-même aidant MonAideCyber, je peux vous accompagner à titre gracieux (comme stipulé dans la charte de l’aidant).

  2. Un diagnostic adapté aux enjeux cyber actuels : l’objectif ici est de mettre en place une hygiène numérique en suivant les recommandations proposées par l’ANSSI.

  3. Liste de mesures utiles et classées par priorité : Six mesures prioritaires sont proposées à l’issue du diagnostic. Compréhensibles et actionnables, elles doivent pouvoir être mises en œuvre par les équipes de l’entité ou celles du prestataire.

  4. Suivi des avancées : Six mois après les recommandations, un point d’étape avec l’aidant cyber est proposé.
Faire une demande Mon Aide Cyber

Bonus : Le chèque investissement cyber de la région IDF

La Région Ile-de-France accompagne les TPE-PME dans l’implémentation de solutions pour renforcer leurs dispositifs de sécurité et être ainsi plus résilientes face aux menaces Cyber. L’aide peut s’élever jusqu’à 2.500€ pour les TPE et jusqu’à 10.000€ pour les PME.
 
Pour être éligibles, les PME de 10 à 250 salariés doivent avoir réalisé en amont un diagnostic labellisé par un acteur reconnu (certification PASSI, label France Cybersécurité, label CCI) dans l’année qui précède la demande. Aucun diagnostic n’est exigé pour les TPE de 1 à – de 10 salariés. 
 
J’ai mis ce dispositif en bonus car ne suis pas sûr qu’il ait été reconduit en 2025.
Faire une demande de financement

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

dix-neuf + sept =

APPROFONDIR

Cybersécurité & Cyberdéfense