Cyberattaque : 1 PME sur 3 touchée, et la vôtre ?

LiteLLM en ligne de mire : quand un projet open source devient une porte ouverte aux pirates

En décembre 2023, l’entreprise d’IA Mercor a subi une cyberattaque ciblée. Résultat ? Des données sensibles se sont retrouvées entre les mains de hackers. Le coupable ? Une faille de sécurité liée au projet open source LiteLLM, une bibliothèque utilisée pour connecter des modèles de langage comme ceux de Mistral ou Llama à des applications tierces. Le pire ? Ce n’est pas un cas isolé.

Selon une étude de l’ANSSI (2023), 31% des PME françaises déclarent avoir subi au moins une cyberattaque en 2023. Et parmi elles, 15% n’ont même pas réalisé qu’elles avaient été compromises. La menace est bien réelle… et souvent sous-estimée.

Pourquoi LiteLLM ? Parce que les cybercriminels exploitent les dépendances open source comme des chevaux de Troie. Une faille dans un projet utilisé par des milliers de développeurs peut devenir un point d’entrée massif. Votre PME utilise peut-être ce type d’outils sans même le savoir.

Vos données valent de l’or pour les hackers – et vous, vous les protégez comment ?

Mercor a été victime d’une extorsion numérique : les pirates ont chiffré ses données et réclamé une rançon. Mais le vrai danger, ce n’est pas l’argent perdu. C’est la perte de confiance de vos clients. Imaginez : un candidat à l’embauche découvre que ses informations personnelles (CV, coordonnées) ont fuité. La réputation de votre entreprise est entachée… pour des années.

Pire encore : les PME paient souvent le prix fort. D’après Cybermalveillance.gouv.fr, le coût moyen d’une cyberattaque pour une PME est de 50 000 € (panne d’activité, frais juridiques, perte de clients). Un montant qui peut mettre une entreprise en péril. Pourtant, 60% des PME ne disposent d’aucun plan de réponse aux incidents (Baromètre 2024 de l’Assurance Maladie).

La solution ? Une stratégie proactive. Pas besoin de devenir expert en cybersécurité, mais il faut savoir où sont vos vulnérabilités. Par exemple : auditez régulièrement vos dépendances logicielles (comme LiteLLM), segmentez vos réseaux, ou encore formez vos équipes aux bonnes pratiques (comme éviter de cliquer sur des liens suspects).

Open source = opportunité… mais aussi risque si on ne sécurise pas

LiteLLM est un projet open source très utilisé pour connecter des IA à des outils métiers. Son avantage ? Il accélère le développement et réduit les coûts. Mais son inconvénient ? Une faille dans ce type de bibliothèque peut impacter des centaines, voire des milliers d’entreprises qui l’utilisent sans le savoir. C’est ce qu’on appelle un risque systémique.

Prenez l’exemple de Log4j en 2021 : une faille dans cette bibliothèque Java a touché des millions d’applications dans le monde. Les PME qui l’utilisaient sans mise à jour ont été exposées pendant des mois. Résultat ? Des milliers de données clients volées. Votre PME utilise-t-elle des outils basés sur des bibliothèques open source ? Si oui, avez-vous vérifié leurs vulnérabilités récentes ?

Heureusement, il existe des solutions pour limiter ces risques. Par exemple :

• Scanner régulièrement vos dépendances avec des outils comme Snyk ou Dependabot (intégré à GitHub).
• Mettre en place des politiques de mise à jour automatiques pour les composants critiques.
• Former vos équipes à repérer les signaux d’alerte (ex : ralentissements anormaux, erreurs de connexion).

3 actions immédiates pour sécuriser votre PME (avant qu’il ne soit trop tard)

Vous pensez que ça n’arrive qu’aux autres ? Détrompez-vous. Voici trois étapes concrètes pour réduire votre exposition, inspirées des meilleures pratiques des experts en cybersécurité :

1. Identifiez vos points faibles

Commencez par un audit des actifs numériques. Listez tous les outils, logiciels et services cloud utilisés par votre entreprise. Puis demandez-vous : « Si ce service était compromis, quelles données seraient accessibles ? » Par exemple, un outil de recrutement comme celui de Mercor peut contenir des CV avec des adresses e-mail et numéros de téléphone – une mine d’or pour les spammeurs ou les pirates.

Un outil simple pour débuter : Nmap (gratuit) pour scanner vos réseaux et repérer les ports ouverts. Ou encore Shodan pour voir quels services exposés votre entreprise publie sur internet.

2. Protégez vos données comme un coffre-fort

La règle d’or : le principe du moindre privilège. Ne donnez accès aux données sensibles qu’aux personnes qui en ont vraiment besoin. Par exemple :

• Limitez les droits d’administration sur vos outils.
• Chiffrez les données sensibles (RGPD oblige).
• Sauvegardez régulièrement vos données hors ligne (un pirate qui efface vos serveurs ne pourra pas toucher à votre sauvegarde).

Petit bonus : utilisez un gestionnaire de mots de passe entreprise (comme Bitwarden ou 1Password) pour éviter que vos équipes ne réutilisent les mêmes identifiants partout.

3. Préparez un plan B (au cas où)

Même avec les meilleures protections, une faille peut passer entre les mailles du filet. C’est pour ça qu’il faut un plan de réponse aux incidents. Exemple de checklist :

• Coupez immédiatement les accès suspects.
• Contactez votre hébergeur ou votre DSI pour isoler le problème.
• Prévenez vos clients si leurs données sont exposées (RGPD).
• Documentez l’incident pour améliorer vos défenses.

Des entreprises comme Deltopide aident les PME à construire ces plans sur mesure, sans complexité inutile. L’idée ? Être prêt à réagir en 24h, pas en 24 jours.

La cybersécurité n’est pas une option – c’est un investissement vital

L’histoire de Mercor n’est pas un cas isolé, mais un symptôme d’un problème plus large : les PME sous-estiment encore les risques numériques. Pourtant, les chiffres sont sans appel : selon l’INSEE, une PME sur deux ferme dans les 5 ans suivant une cyberattaque majeure. Le temps où la cybersécurité était réservée aux géants comme les banques est révolu.

Le paradoxe ? Les outils pour se protéger existent, mais beaucoup de dirigeants pensent que « ça n’arrivera pas à eux ». Pourtant, les pirates ciblent justement les petites structures, souvent moins bien protégées que les grandes entreprises. Votre PME est-elle une cible facile ?

La bonne nouvelle ? Avec quelques actions ciblées, vous pouvez réduire de 80% votre exposition aux risques. Et ça ne nécessite pas de budget pharaonique. Par exemple :

• Un audit basique coûte entre 1 000 € et 3 000 € – bien moins que les 50 000 € moyens d’une cyberattaque.
• Former une équipe de 5 personnes à la détection des phishing prend 1 journée.
• Une sauvegarde automatisée coûte quelques euros par mois.

Le vrai coût, c’est celui de l’inaction. Comme dit l’adage : « On ne paie pas pour la sécurité, on paie pour ne pas la faire. »*

Vous voulez savoir où en est votre PME face aux cybermenaces ?

Deltopide propose un diagnostic cybersécurité gratuit pour identifier vos vulnérabilités avant qu’un pirate ne le fasse à votre place. En 30 minutes, nos experts vous donnent une feuille de route claire pour renforcer vos défenses – sans jargon technique inutile.

👉 Réservez votre diagnostic gratuit ici

*Adage inspiré des travaux de Bruce Schneier, expert en cybersécurité.