Risques informatiques et cybersécurité

BTS GPME – Gestion des Risques
Conforme à l'arrêté du 19 février 2018

---

Introduction

La transformation numérique des PME s'est considérablement accélérée ces dernières années. Si elle apporte des gains de productivité indéniables, elle expose également ces structures à des risques informatiques croissants. Contrairement aux grandes entreprises, les PME disposent souvent de ressources limitées en matière de sécurité informatique, ce qui en fait des cibles particulièrement vulnérables.

Dans le cadre du BTS GPME, la gestion des risques informatiques s'inscrit dans la démarche globale de gestion des risques de l'entreprise : identification, évaluation, traitement et suivi. Elle mobilise également des compétences juridiques (RGPD, responsabilité de l'employeur) et organisationnelles (procédures internes, formation du personnel).

> Référence juridique principale : Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (RGPD), applicable depuis le 25 mai 2018 — Loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés) — Code pénal, articles 323-1 à 323-8 (atteintes aux systèmes de traitement automatisé de données).

---

I. Identification des principaux risques informatiques en PME

La première étape de toute démarche de gestion des risques est leur identification. En matière informatique, les risques peuvent être classés selon leur origine : malveillante, accidentelle ou structurelle.

1.1 Les risques d'origine malveillante

#### Le rançongiciel (ransomware)

Un rançongiciel est un programme malveillant qui chiffre les données de la victime et réclame le paiement d'une rançon en échange de la clé de déchiffrement. Il se propage généralement via une pièce jointe malveillante, un lien frauduleux ou une faille logicielle non corrigée.

Conséquences pour la PME :

• Blocage total ou partiel de l'activité


• Perte définitive de données si aucune sauvegarde n'existe


• Coût financier direct (rançon éventuelle, coûts de remédiation)


• Atteinte à la réputation

Exemple concret : Un cabinet d'expertise comptable voit l'ensemble de ses fichiers clients chiffrés un lundi matin. Sans sauvegarde récente, il se retrouve dans l'impossibilité d'établir les déclarations fiscales en attente. L'activité est paralysée plusieurs jours.

#### L'hameçonnage (phishing)

L'hameçonnage consiste à usurper l'identité d'un tiers de confiance (banque, fournisseur, administration) pour tromper un collaborateur et obtenir des identifiants, des données bancaires ou un virement frauduleux.

Variante spécifique aux PME — la fraude au président : Un cybercriminel se fait passer pour le dirigeant et ordonne par email un virement urgent à un prestataire fictif. Cette technique cible particulièrement les TPE/PME où la hiérarchie est peu formalisée.

Exemple concret : La comptable d'une PME reçoit un email prétendument de son directeur, en déplacement, lui demandant d'effectuer un virement de 15 000 € avant la fin de journée pour "sécuriser un contrat". L'adresse de l'expéditeur diffère d'un caractère de l'adresse réelle du dirigeant.

#### Les logiciels malveillants (malwares)

Les malwares regroupent l'ensemble des programmes conçus pour nuire : virus, chevaux de Troie, logiciels espions (spywares), enregistreurs de frappe (keyloggers). Ils peuvent voler des données, surveiller l'activité ou servir de point d'entrée pour d'autres attaques.

#### L'attaque par déni de service (DDoS)

Cette attaque vise à rendre un service en ligne inaccessible en le saturant de requêtes. Elle peut paralyser le site e-commerce d'une PME pendant plusieurs heures, entraînant une perte directe de chiffre d'affaires.

1.2 Les risques d'origine accidentelle

#### La panne matérielle

La défaillance d'un serveur, d'un disque dur ou d'un équipement réseau peut entraîner une interruption d'activité et une perte de données. Ce risque est souvent sous-estimé dans les PME qui n'ont pas formalisé de plan de continuité.

#### Le vol ou la perte de matériel

La perte ou le vol d'un ordinateur portable, d'une tablette ou d'un smartphone contenant des données non chiffrées constitue une violation de données personnelles au sens du RGPD, avec les obligations de notification qui en découlent.

Référence juridique : Article 33 du RGPD — toute violation de données personnelles doit être notifiée à la CNIL dans un délai de 72 heures après en avoir pris connaissance.

#### L'erreur humaine

La suppression accidentelle de fichiers, la mauvaise manipulation d'une base de données ou l'envoi d'un email contenant des données confidentielles à un mauvais destinataire représentent une part significative des incidents informatiques en entreprise.

1.3 Les risques liés à la violation du RGPD

Une violation de données personnelles au sens du RGPD désigne toute atteinte à la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel.

Sanctions encourues :

• Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu), conformément à l'article 83 du RGPD


• Mise en demeure et publication de la sanction par la CNIL

Référence juridique : Articles 33 et 34 du RGPD — notification à la CNIL (article 33) et aux personnes concernées (article 34) si le risque est élevé pour leurs droits et libertés.

---

Tableau récapitulatif des principaux risques

Risque	Origine	Conséquences principales	Obligation légale
---	---	---	---
Rançongiciel	Malveillante	Blocage activité, perte données	Notification CNIL si données personnelles touchées
Hameçonnage	Malveillante	Vol d'identifiants, fraude financière	Dépôt de plainte (art. 323-1 CP)
Malware	Malveillante	Vol/destruction de données	Notification CNIL selon gravité