Il faut reconnaître que ce sont les criminels qui ont poussé à la “démocratisation” du concept de la cybersécurité, en étendant leur champ de bataille vers les usagers de l’informatique familiale avec des scénarios d’attaque bien plus élaborés que les bons vieux virus, mais surtout, avec des bénéfices monétaires bien plus importants que ce que nous pouvions constater il y a encore une dizaine d’années. Ce constat est notamment l’une des conclusions que nous tirons de ce que le CLUSIF présente, année après année, lors de son Panorama de la Cybercriminalité. Les petites entreprises ont d’abord été atteintes de manière presque involontaire, par ces attaques destinées initialement au “grand public”. Mais si les “armes” destinées à attaquer les petites entreprises (et parfois les grandes) sont similaires, il est toutefois possible de mettre en avant trois points différenciateurs : • premièrement, les dommages sont bien plus importants pour une PME que pour un particulier (par manque de mesures de contention et de réaction, les conséquences d’une attaque peuvent même être, hélas, plus importantes que pour une grande entreprise). • Deuxièmement, la “cyber-escroquerie” de type “Cryptolocker” ou autre, est bien plus profitable que chez un particulier (ce type d’attaque peut par ailleurs se combiner avec d’autres visant typiquement les grandes entreprises, comme par exemple “la fraude au PDG”). • Troisièmement, les petites entreprises sont attaquées pour atteindre les grandes avec lesquelles elles sont en relation : l’attaquant suppose, avec raison hélas, que les PME, moins protégées, constituent un excellent point d’entrée vers les informations et/ou l’informatique des grandes entreprises (voir, par exemple:https://www.cnil.fr/fr/la-societe-orange-sanctionnee-pour-defaut-de-securite-desdonnees-dans-le-cadre-de-campagnes).