4 piliers et une approche par les risques pour sécuriser les PME

avril 2024 par Julien Léger, directeur opérationnel de NAITWAYS

C’est un état de fait : les petites entreprises sont extrêmement vulnérables aux cyberattaques. En 2022, 60% des attaques ont touché des TPE et PME (source CESIN). Et les conséquences peuvent s’avérer importantes voire désastreuses : perte d’argent, arrêt de l’activité, vol de données, perte de confiance des clients, atteinte à la réputation de l’entreprise... Selon le cabinet Asterès, le coût moyen d’une violation de données pour une PME s’élève à 130 000 €. Les études montrent que la moitié des PME attaquées sont susceptibles de faire faillite dans les 18 mois qui suivent.

Cependant, cette catégorie d’entreprises reste peu consciente des risques. Près de 7 dirigeants de PME sur 10 pensent qu’ils ne constituent pas une cible potentielle d’après un sondage mené par l’Ifop pour l’assureur cyber Stoïk. Et cette perception est la même quel que soit le secteur d’activité.

Pourtant, avec l’essor du numérique et la digitalisation de l’ensemble des activités, les risques sont bien réels et croissent. Qui plus est, les ressources financières et humaines limitées des PME en font des proies faciles et de choix pour les cybercriminels. Parmi les risques cyber les plus importants figurent le rançongiciel, le pishing, l’attaque DDoS, l’exploitation d’une faille, le piratage de compte ou encore la fraude au président.

Adopter une approche pragmatique de la cybersécurité

L’un des freins à une action des PME face aux cyber risques est de comprendre le niveau de protection dont elles ont réellement besoin et qu’elles doivent envisager. La situation économique tendue et incertaine durcit les arbitrages budgétaires au profit d’investissements dont le ROI est compris et perceptible à court terme. Or le discours des experts, éditeurs et fournisseurs spécialisés est souvent anxiogène, assez loin du vécu terrain du dirigeant et mélange marketing et explications des risques encourus.

Faute de discours clairs, objectifs et d’un plan de route lié à la sécurité, elles laissent libre cours aux idées reçues qui freinent leurs investissements, la première étant qu’une solution cyber est forcément chère et inaccessible. Autre exemple : les dispositifs de cybersécurité brident l’innovation et entravent la productivité d’une entreprise.

La priorité dans une PME est d’avoir une approche pragmatique de la cybersécurité. Cela revient à aider le dirigeant à voir les situations à risque, à les prioriser et à élaborer une réponse graduée en cas d’attaque. La pédagogie et le pragmatisme sont déterminants. Par exemple, une PME gagnera à démarrer de manière simple et classique, soit en lançant un audit via un partenaire, soit en s’auto-évaluant à partir du guide publié par l’ANSSI. Il faut ensuite dresser un plan d’action lié à la sécurité. S’assurer de pouvoir relancer son SI est la première étape et la plus simple ; la seconde consiste à repousser l’échéance d’une attaque, en mettant en oeuvre une démarche d’amélioration continue et de prise en compte permanente de la menace cyber (sensibilisation, veille, intégration de nouvelles solutions, mises à jour logicielles, …).

Bonnes pratiques au service de la cybersécurité dans les PME

L’approche gagnante pour les PME repose sur 4 volets à garder en tête pour la sécurité :

L’équilibre, tu dois trouver : Chercher l’équilibre entre l’exposition possible aux risques et les investissements à consentir pour les mettre sous contrôle. Il est relativement facile de couvrir 90% des risques, mais cela devient plus couteux d’arriver à 95%, voire à 100%.

Errare humanum est : Ne pas oublier le volet organisationnel et humain, l’homme restant le maillon faible de toute la stratégie cyber. Il s’agit de sensibiliser la direction ainsi les collaborateurs aux risques, notamment par des actions de mise en situation comme des campagnes de faux phishing. C’est avec l’apprentissage par l’erreur qu’ils prendront pleinement conscience des risques.

L’expérience de chacun est le trésor de tous : Il est important de s’inspirer de retours d’expérience et d’échanger avec d’autres PME – souvent de dirigeant à dirigeant – ce qui aide à faire tomber les idées reçues plus vite.

Trouver le bon partenaire : S’appuyer sur un opérateur qui sécurise aussi bien les couches réseaux que les serveurs et sait détecter les menaces (scan de vulnérabilité), proposer différents moyens de protections (chiffrement, authentification-MFA, FWaaS), et élaborer un plan de reprise d’activité pour restaurer rapidement le système d’information s’il tombait et poursuivre son activité.

Les PME ne peuvent plus faire l’impasse de la cybersécurité. Les prises de parole pour les alerter se multiplient, jusqu’au gouvernement qui, en décembre dernier, lançait un dispositif d’accompagnement des PME dans le cadre de France 2030[1]. Mais le message peine toujours à être entendu par les entreprises concernées. Pour que cela change, il est fondamental de se mettre à la hauteur de leurs préoccupations et de parler leur langage, guidé par un même pragmatisme et la nécessité de percevoir et comprendre l’utilité des actions engagées et des investissements consentis.