Ces dernières années, la transformation numérique et la dématérialisation rapide, exacerbées par l’avènement du télétravail, du travail mobile et du travail hybride, ont élargi la surface d’attaque des entreprises. Les attaquants ont aujourd’hui une multitude de portes d’entrée pour attaquer les entreprises, même les PME et les ETI, qui sous-estiment encore bien trop souvent l’importance de la cybersécurité pour elles.
Malheureusement, la plupart des PME/ETI pense, à tort, que leur taille les protège, ce qui les expose à divers cyber-risques.
Quels sont les enjeux cyber pour les PME et ETI ? Quelles sont les bonnes pratiques de cybersécurité pour les PME et ETI ?
En 2023, les cyberattaques ont augmenté de 38 % au niveau mondial, touchant particulièrement les PME (source : rapport de Check Point Research). Tout cela vient renforcer le besoin d’une bonne protection pour les organisations de toutes tailles (de la PME au grand groupe international) de tous types (privées et publiques). En outre, les attaquants ont aujourd’hui une multitude de portes d’entrée pour attaquer les entreprises, même les PME et les ETI, qui sous-estiment encore bien trop souvent l’importance de la cybersécurité pour elles. Ces dernières années, le phishing et les rançongiciels (ransomware) sont les deux principales méthodes d’attaque contre les entreprises, et leurs conséquences ne sont pas des moindres.
La prise de conscience envers le risque cyber
La plupart des PME/ETI pense, à tort, que leur taille les protège. Les PME/ETI pensent qu’elles sont assez petites pour ne pas avoir besoin de solutions ou mesures de cybersécurité, et cela conduit à une faible allocation de budget en cybersécurité. Le RSSI (Responsable Sécurité des Systèmes d’Information) a donc un rôle critique dans les PME et les ETI. En effet, l’enjeux pour ces entreprises n’est pas tant la couverture du risque que la prise de conscience des dirigeants. Car si les dirigeants de l’entreprise n’ont pas connaissance du risque encouru, il sera plus compliqué pour le RSSI, RSI ou DSI de faire valider le budget nécessaire à la mise en place d’un outil de cybersécurité. Lorsque la direction de l’entreprise prend conscience du risque et connaît les solutions pour y remédier, les projets de cybersécurité peuvent être validés et mis en œuvre. Dans un premier temps, il est recommandé une mise en place de preuve de valeur sur un périmètre restreint. Ce POV (Proof of Value) permet de rendre visibles les risques cyber et de présenter les résultats de manière concrète et compréhensible.
L’absence de protection/détection
La surveillance proactive (via des solutions de détection d’intrusions, des audits réguliers, etc.) est un point essentiel de la cybersécurité des organisations. Mais ces outils manquent souvent dans les PME, les rendant vulnérables à des attaques silencieuses qui ne sont découvertes qu’après les dégâts. L’utilisateur est aussi en première ligne des cyberattaques.
De forts enjeux de conformité légale et règlementaire
Avec des législations de plus en plus, les PME/ETI doivent se conformer à des normes de sécurité sous peine de sanctions. Le non-respect de ces normes peut entraîner des amendes importantes en cas de fuite de données, La non-conformité légale et règlementaire peut également entrainer la perte de confiance des clients et des partenaires. La violation de données peut nuire à la réputation d’une entreprise, affectant la fidélité des clients et la confiance des partenaires. C’est notamment en ce sens que les grands groupes et les gouvernements exigent de plus en plus de garanties en matière de cybersécurité avant d’établir des partenariats.
Les bonnes pratiques de cybersécurité pour les PME et ETI
- Avoir des postes spécialisés et dédiés (RSSI,…)
- Allouer un budget dédié
- Vérifier les contrats avec les fournisseurs et auditer leur cybersécurité
- Planifier la cybersécurité en amont de tout projet IT
- Mettre en place un plan de réponse aux incidents
- Effectuer des sauvegardes régulières
- Effectuer des restaurations de sauvegardes pour valider les processus
- Sécuriser les terminaux mobiles et distants en plus des réseaux
- Gérer les droits et accès de façon ciblée avec une stratégie de « Moindre Privilège »
- Effectuer régulièrement des mises à jour logicielles et applicatives
- Séparer les usages personnels des usages professionnels
- Former et sensibiliser ses collaborateurs
- S’entourer de partenaires spécialisés en cybersécurité des parcs IT et mobiles (MSP, Managed Services Providers, ou MSSP, Managed Security Services Providers)
Par Sébastien REVERDY, CEO de Bconnex
