Les PME vont recevoir des alertes en cas de failles informatiques
Cette semaine, Le Monde nous apprend qu’une société informatique israélienne (NSO) aurait vendu un logiciel d’espionnage (Pegasus) à des services de renseignement étrangers. Ces mêmes services auraient ensuite utilisé le logiciel Pegasus pour siphonner les iPhones de personnalités politiques et médiatiques de premier plan (dont Emmanuel Macron), sans que les victimes ne puissent s’apercevoir de quoi que ce soit. Le piratage parfait. Au total, plus de 50 000 personnalités auraient été espionnées par l’intermédiaire de Pegasus — soit 0,005 % des possesseurs d’iPhone dans le monde.
Si cette histoire est tant médiatisée, c’est sans doute parce qu’elle touche des chefs de gouvernements et des directeurs de presse, ce qui, comme nous avons déjà eu l’occasion de le dire dans cette newsletter, peut donner aux dirigeants de « simples » PME une fausse impression de sécurité. C’est presque vain de le rappeler, mais les PME subissent des cyber-attaques au même titre que les chefs d’État, seulement, les journaux parlent plus volontiers des seconds que premières. Alors oui, certes, des groupes de pirates très professionnalisés existent bel et bien, et oui ces groupes dépensent beaucoup d’énergie pour trouver des failles informatiques leur permettant d‘espionner des entreprises ou des gouvernements — parfois avec la complaisance de leur propre gouvernement, d’ailleurs. Il n’est pas question de nier l’existence de NSO ni celle de Pegasus. Mais dans ce genre de cas, avec ce genre d’acteurs para-étatiques, les piratages servent les intérêts d’États, qui utilisent les cyber-attaques comme un levier d’influence géopolitique, pas comme un moyen d’extorquer 2 000 € à une petite entreprise.
Quand une PME se fait pirater, ce n’est ni du côté de NSO ni de celui de Pegasus qu’il faut regarder — ces attaques sont trop coûteuses et trop sophistiquées pour cibler des PME ordinaires. Quand une PME se fait pirater, c’est parce qu’un groupe de petits malins se rend compte que telle ou telle entreprise a utilisé 123456 comme mot de passe sur son serveur principal. Rien de bien sophistiqué là-dedans, donc. Et une fois que les pirates ont mis le pied dans la porte principale, toutes les autres portes tombent généralement assez vite. En somme, si les chefs d’État peuvent être victimes de cyber-attaques dignes de James Bond, la plupart des PME tombent quant à elles pour des négligences techniques bien plus banales — un mot de passe trop faible, un système d’exploitation trop rarement mis à jour, un réseau pas assez sécurisé… Pas d’ingérence étatique là-dedans, juste une petite inattention à un moment donné, qui se paye cher à l’arrivée.
Pour rendre les PME moins vulnérables, le gouvernement va diffuser des alertes à chaque fois qu’une faille informatique majeure sera détectée. Il s’agit d’aider les PME à résorber d’éventuelles failles de sécurité avant que des pirates ne s’y engouffrent. Voyez ça comme les bulletins d’alerte de Météo France, mais appliqués à la sécurité informatique. Pas d’alerte orange en cas d’orage ici, mais une alerte en cas de faille détectée dans tel ou tel système d’exploitation par exemple. L’idée du gouvernement consiste à reprendre le système d’alertes diffusées par l’agence nationale de la sécurité des systèmes d’information (ANSSI), en les simplifiant, pour les rendre accessibles aux dirigeants de PME. Les organisations patronales comme le MEDEF ou la CPME seront aussi sollicitées pour relayer les alertes auprès de leurs adhérents. En attendant la mise en place de ce système (qui ne saurait tarder), le site cybermalveillance.gouv.fr donne un exemple de bulletin destiné aux PME. Vous pouvez même d’ores et déjà vous inscrire sur le site pour recevoir des alertes par e-mail en cas de faille critique.
Les dirigeants quittent la piste avant de passer au tribunal
Depuis le début de l’épidémie de Covid-19, les éditorialistes économiques sont passés par plusieurs phases, oscillant d’une crainte à une autre au gré des annonces gouvernementales et des péripéties sanitaires. Une chronologie très sommaire des préoccupations affichées par les commentateurs de la vie économique pourrait donner :
Printemps 2020. — « Les aides financières massives vont créer des entreprises zombies à la pelle. » ;
Automne 2020. — « La fin des aides financières massives va entraîner des faillites à la pelle. » ;
Printemps 2021. — « Cette fois c‘est sûr, la déferlante de défaillances arrive. » ;
Été 2021. — « Les tribunaux de commerce vont bientôt crouler sous les procédures collectives. ».
Heureusement pour les entreprises françaises, les catastrophes redoutées par les éditorialistes n’ont pas vraiment eu lieu. Le nombre d’entreprises maintenues « artificiellement » en vie n’a pas explosé au printemps 2020. Il n’y a pas eu de vague de faillites en octobre 2020, pas plus qu’en mars 2021. Et non, les tribunaux de commerce ne sont pas tous dans le rouge en ce moment, bien au contraire — et ce ne sont pas les éditorialistes économiques qui le disent cette fois, mais les greffiers des tribunaux de commerce eux-mêmes. Une récente étude publiée par le conseil national des greffiers des tribunaux de commerce (CNGTC) montre en effet que le seul indicateur qui bondit actuellement, c’est celui… des créations d’entreprises. Au premier semestre 2021, les greffiers ont ainsi enregistré 324 828 nouvelles immatriculations au registre du commerce et des sociétés (RCS).
Qu’est-ce que le RCS ? Le registre du commerce et des sociétés est un répertoire, une liste qui recense toutes les entreprises françaises exerçant une activité commerciale — par opposition aux activités artisanales ou libérales. Au même titre que l’inspecteur Derrick, le groupe Kraftwerk, et la mode des chaussettes dans les sandales, le RCS est une invention allemande, un système de classification importé dans le droit français en 1919, quand la France a récupéré l’Alsace et la Lorraine (soit la Moselle et une partie des Vosges). De l’entrepreneur qui lance sa micro-entreprise, à la start-up qui se monte en SARL, en passant par les EURL et les SAS, toutes les sociétés commerciales doivent s’inscrire au RCS de nos jours. En France, ce sont les tribunaux de commerce qui ont la responsabilité des RCS. Ce sont les greffiers qui enregistrent les inscriptions au RCS, c’est-à-dire les créations d’entreprises, comme les radiations du RCS, c’est-à-dire les dissolutions d’entreprises.
Et la vague de faillites tant redoutée alors ? Toujours pas de déferlante à l’horizon. D’après les greffiers, seules 11 913 procédures collectives ont été ouvertes au premier semestre 2021, un chiffre en baisse de 16 % par rapport au premier semestre de l’année dernière. Que se passe-t-il alors ? Il se passe que les mesures de soutien destinées aux entreprises ont joué leur rôle, et continuent de le faire, empêchant ainsi les entreprises fragilisées par la crise de se retrouver en cessation de paiement — état qui déclenche l’ouverture d’une procédure collective. Est-ce à dire que tout va bien madame la marquise ? Non, puisque dans le même temps, toujours au premier semestre 2021, 131 412 entreprises ont été radiées du RCS, rayées de la liste. Par rapport au premier semestre 2020, les greffiers ont enregistré 27 % de radiations en plus. Et sur les 131 412 radiations enregistrées, 53 % d’entre elles sont volontaires, c’est-à-dire que plus d’une radiation sur deux fait suite à une cessation d’activité délibérée. En clair, au premier semestre 2021, 69 609 dirigeants sont allés voir les greffiers en disant « je rends mon tablier ».
D’après les greffiers, les aides versées aux entreprises ont permis aux sociétés les plus fragilisées par la crise de se remettre temporairement à flot — mais sans qu’elles parviennent à résoudre leurs problèmes structurels pour autant. Conscients des limites de leur modèle d’affaires, et sachant que la suspension des échéances fiscales ne va pas durer indéfiniment, certains dirigeants préfèrent mettre la clé sous la porte dès à présent, pour éviter de se retrouver en cessation de paiement dans quelques mois — ce qui placerait alors leur entreprise sous contrôle judiciaire. Dit autrement, certains chefs d’entreprise décident de mettre un point final à leur affaire avant de toucher le fond, pour éviter de passer par la case « procédure collective ». Car le passage par une procédure collective laisse une trace. Quand elles étudient des dossiers de financement, les banques se méfient des dirigeants dont l’entreprise s’est un jour retrouvée en cessation de paiement. Une procédure collective réussie peut certes permettre à un dirigeant de sauver sa société, mais elle peut aussi lui fermer des portes par la suite.
