Les PME pensent ne pas intéresser les hackers. Ces entreprises sont moins conscientes des risques cyber. Elles sont donc moins bien préparées et moins bien protégées pour faire face aux cyberattaques. Il existe pourtant un décalage entre la perception des PME et la réalité. D’après une enquête de la Fédération Française de Cybersécurité portant sur la cybersécurité des TPE et PME françaises, 14 % des PME de plus de 50 salariés ont déjà été victimes d’une cyberattaque. Preuve que les PME sont elles aussi ciblées par les cybercriminels.
Dans un contexte d’intensification des risques cyber, les PME, comme toutes les entreprises, doivent donc évaluer leur maturité en cybersécurité. Cette prise de conscience leur permet d’améliorer leur sécurité, afin de mieux protéger leurs activités et leurs données. Passons le sujet à la loupe.
30 ans d'évolution des menaces cyber
Depuis son lancement grand public il y a près de 30 ans, Internet s’est profondément transformé.
1995 : Internet devient grand public, des opportunités d’affaires en ligne émergent.
2005 : YouTube est lancé, la vidéo devient un outil marketing majeur.
2015 : piratage du site de rencontres Ashley Madison et vol de plus de 30 millions de comptes clients. L’événement montre l’importance cruciale de protéger les données clients.
Années 2020 : augmentation des ransomwares (très marquée en 2020-2021), les PME sont de plus en plus ciblées. Les TPE, PME et ETI représentent 34 % des victimes de compromissions par rançongiciels en 2020, 51 % en 2021 et 40 % en 2022 (source : ANSSI, Panorama de la menace 2021 et 2022).
Internet offre désormais des opportunités de développement aux entreprises. Cette utilisation accrue du numérique présente également des risques : ransomware prenant en otage les données, attaques par déni de service distribué paralysant le site Internet de l’entreprise, etc.
Cybersécurité : les PME confrontées à une complexité croissante
Si les menaces cyber à l’encontre des entreprises françaises se sont intensifiées ces dernières années, les systèmes d’information se sont également étendus et complexifiés, y compris chez les TPE, PME et ETI. Les entreprises françaises comptent de plus en plus d’appareils à surveiller (appareils mobiles, notamment) et de données à protéger. Les contraintes réglementaires complexifient également cette tâche (RGPD depuis 2018, NIS 2 d’ici la fin de l’année 2024, etc.).
Les entreprises doivent prendre en compte de plus en plus d’éléments pour se protéger efficacement : gestion des identités et des accès, politique de mots de passe, supervision, formation des utilisateurs, etc. La mise en place d’une politique de sécurité efficace par le DSI est de plus en plus ardue, d’autant que les ressources expertes en cybersécurité sont plutôt rares et les budgets dédiés à la cybersécurité souvent limités dans les PME.
Pourquoi est-il essentiel pour les PME d’évaluer leur niveau de maturité en cybersécurité ?
Les cyberattaques sont particulièrement déstabilisantes pour les PME. Ces attaques peuvent entraîner un ralentissement voire une paralysie de l’activité, et générer des conséquences multiples : pertes financières, impacts juridiques, dégradation de l’image et de la réputation, etc. Certaines structures peinent à s’en relever.
Évaluer sa maturité en cybersécurité constitue la première étape pour prendre ensuite les mesures de sécurité qui s’imposent. D’après la Fédération Française de Cybersécurité, 44 % des PME de plus de 50 salariés ont effectué un diagnostic de cybersécurité. Preuve que la prise de conscience progresse et que les PME se préparent à relever le défi de la cybersécurité.
Mettre en place des mesures et solutions pour se protéger des cyberattaques
Après avoir évalué leur niveau de maturité cyber, les entreprises peuvent ensuite augmenter leurs efforts pour combler les écarts et revoir leur organisation pour se protéger plus efficacement. Certaines mesures de sécurité sont aujourd’hui considérées comme élémentaires : renforcer la sécurité des appareils mobiles, chiffrer ses données, mettre en place des antivirus et antimalwares, etc. Les éléments à protéger étant de plus en plus nombreux, il s’agit d’une démarche au long cours.
Quel sont les différents niveaux de maturité cyber des PME ?
À ce stade, le niveau de maturité d’une PME est encore trop limité, mais la prise de conscience est là et les premiers jalons sont posés : sécurité des postes de travail et des mobiles, protection des serveurs, sécurité des réseaux et des accès.
Niveau de maturité cyber n°2 : « Consolidé »
De nouvelles couches de protection sont ajoutées, notamment en matière de sécurisation des accès depuis l’extérieur (avec un VPN, par exemple), de supervision, et de gestion des identités à travers une politique de mots de passe.
Niveau de maturité cyber n°3 : « Avancé »
L’entreprise passe un cap en matière de sécurité cyber. La sécurité des réseaux et des accès est renforcée, la supervision s’améliore grâce à la mise en place d’un Centre des opérations de sécurité (Security Operations Center), le processus de conformité devient visible à travers une charte informatique, la sécurité des accès physiques est assurée, etc.
Des solutions de sécurité modernes et efficaces permettent de gagner en maturité cyber : EDR poste, EDR serveur, VLAN, passerelle antispam, chiffrement des données, etc. La formation des utilisateurs aux bonnes pratiques cyber accroît le niveau de maturité.
Les PME qui atteignent un tel niveau de maturité en matière de sécurité prennent en compte l’ensemble des composants et des paramètres de leur SI, avec les solutions de protection les plus avancées : XDR, Firewall Next Gen, Security Operations Center, Mobile Device Management, etc.
Les utilisateurs sont intégrés activement à la politique de sécurité de l’entreprise, à travers des formations aux bonnes pratiques d’hygiène informatique et des campagnes régulières de simulation de phishing.
À mesure que les entreprises couvrent un périmètre de sécurité plus large (protection des postes de travail, des mobiles, des serveurs, des réseaux, des données, etc.) et avec des solutions plus efficaces (XDR, firewall de nouvelle génération, Centre des opérations de sécurité, etc.), elles gagnent en maturité cyber et se protègent plus efficacement des cyberattaques.
✅ Évaluez votre maturité en cybersécurité en consultant notre infographie
Vous acceptez que Provectio vous communique de nouveaux contenus et services.
Pour plus d'informations, consultez notre politique de confidentialité.
Suivez-nous
Mentions légales Politique de confidentialité Documents Juridiques
©2020 Provectio
