Par Sébastien Reverdy, CEO de Bconnex, spécialistes
de la gestion et de la sécurisation de l'environnement de travail de
l'Utilisateur Connecté.
Ces dernières années,
la transformation numérique et la dématérialisation rapide, exacerbées par
l’avènement du télétravail, du travail mobile et du travail hybride, ont élargi
la surface d'attaque des entreprises. Les attaquants ont aujourd’hui une multitude
de portes d’entrée pour attaquer les entreprises, même les PME et les ETI, qui
sous-estiment encore bien trop souvent l’importance de la cybersécurité pour
elles. Malheureusement, la plupart des
PME/ETI pense, à tort, que leur taille les protège, ce qui les expose à divers
cyber-risques.
Quels sont les enjeux
cyber pour les PME et ETI ? Quelles sont les bonnes pratiques de cybersécurité
pour les PME et ETI ?
En 2023, les cyberattaques ont augmenté de 38% au niveau mondial, touchant particulièrement les PME (source : rapport de Check Point Research). Tout cela vient renforcer le besoin d’une bonne protection pour les organisations de toutes tailles (de la PME au grand groupe international) de tous types (privées et publiques).
En
outre, les attaquants ont aujourd’hui une multitude de portes d’entrée pour
attaquer les entreprises, même les PME et les ETI, qui sous-estiment encore
bien trop souvent l’importance de la cybersécurité pour elles. Ces dernières années,
le phishing et les rançongiciels (ransomware) sont les deux principales
méthodes d’attaque contre les entreprises, et leurs conséquences ne sont pas
des moindres.
La prise de conscience
envers le risque cyber
La plupart des PME/ETI
pense, à tort, que leur taille les protège. Les PME/ETI pensent qu’elles sont
assez petites pour ne pas avoir besoin de solutions ou mesures de
cybersécurité, et cela conduit à une faible allocation de budget en
cybersécurité. Le RSSI (Responsable Sécurité des Systèmes d’Information) a donc
un rôle critique dans les PME et les ETI.
En effet, l’enjeux pour ces entreprises n’est pas tant la couverture du
risque que la prise de conscience des dirigeants. Car si les dirigeants de
l’entreprise n’ont pas connaissance du risque encouru, il sera plus compliqué
pour le RSSI, RSI ou DSI de faire valider le budget nécessaire à la mise en
place d’un outil de cybersécurité. Lorsque la direction de l’entreprise prend
conscience du risque et connaît les solutions pour y remédier, les projets de
cybersécurité peuvent être validés et mis en œuvre. Dans un premier temps, il est recommandé une
mise en place de preuve de valeur sur un périmètre restreint. Ce POV (Proof of
Value) permet de rendre visibles les risques cyber et de présenter les
résultats de manière concrète et compréhensible.
L’absence de
protection/détection
La surveillance
proactive (via des solutions de détection d’intrusions, des audits réguliers,
etc.) est un point essentiel de la cybersécurité des organisations. Mais ces
outils manquent souvent dans les PME, les rendant vulnérables à des attaques
silencieuses qui ne sont découvertes qu’après les dégâts. L’utilisateur est
aussi en première ligne des cyberattaques.
De forts enjeux de
conformité légale et règlementaire
Avec des législations
de plus en plus, les PME/ETI doivent se conformer à des normes de sécurité sous
peine de sanctions. Le non-respect de ces normes peut entraîner des amendes
importantes en cas de fuite de données. La non-conformité légale et
règlementaire peut également entrainer la perte de confiance des clients et des
partenaires. La violation de données peut nuire à la réputation d'une
entreprise, affectant la fidélité des clients et la confiance des partenaires.
C’est notamment en ce sens que les grands groupes et les gouvernements exigent
de plus en plus de garanties en matière de cybersécurité avant d'établir des
partenariats.
Les bonnes pratiques de
cybersécurité pour les PME et ETI
1. Avoir des postes spécialisés et dédiés (RSSI, …)
2. Allouer un budget dédié
3. Vérifier les contrats avec les fournisseurs et auditer leur
cybersécurité
4. Planifier la cybersécurité en amont de tout
projet IT
5. Mettre en place un plan de réponse aux
incidents
6. Effectuer des sauvegardes régulières
7. Effectuer des restaurations de sauvegardes pour valider les
processus
8. Sécuriser les terminaux mobiles et distants en plus des réseaux
9. Gérer les droits et accès de façon ciblée avec une stratégie de
« Moindre Privilège »
10. Effectuer
régulièrement des mises à jour logicielles et applicatives
11. Séparer les usages
personnels des usages professionnels
12. Former et sensibiliser
ses collaborateurs
13. S’entourer de
partenaires spécialisés en cybersécurité des parcs IT et mobiles (MSP, Managed
Services Providers, ou MSSP, Managed Security Services Providers)