Approche des risques de cybersécurité chez les PME
« Il existe deux types d’organisations : celles qui ont déjà été victimes d’une cyberattaque, et celles qui le seront bientôt. »
Directeur général de l’Agence nationale de la sécurité des systèmes d’information (2022)
Nul n’ignore désormais l’importance de la cybersécurité pour les organisations, quel que soit leur secteur d’activité. Interruptions de service, pertes de données, atteintes aux systèmes d’information et divulgations d’informations sensibles touchent de très nombreuses entreprises et entraînent pertes de revenus, lourdes remises en état, souvent perte de confiance des clients et autres parties prenantes, parfois sanctions. Chaque année, à des degrés divers, ce sont près de la moitié des entreprises françaises qui sont victimes d’une (ou plusieurs) attaque informatique !
Les obligations légales de maîtrise du risque cyber s’étendent rapidement à une large partie du tissu économique européen, au-delà même des organismes les plus sensibles déjà concernés, y compris les fournisseurs et prestataires d’organismes sensibles. En particulier, la directive NIS 2 s’appliquera à compter d’octobre 2024 à plus de 10.000 entreprises en France, auxquelles s’ajouteront plusieurs milliers de leurs prestataires et fournisseurs. Conçues pour protéger la société des crises cyber, ces exigences pèsent de plus en plus sur les entreprises.
Les dirigeants sont désormais très attentifs aux risques sur la sécurité de l’information et des systèmes, qui impactent significativement la valeur des entreprises. Ils ne font plus l’impasse sur une gouvernance appropriée, des mesures de sécurité organisationnelles, opérationnelles et techniques ainsi que des plans d’action pour maîtriser les risques et gérer les incidents.
De leur côté, bien que tout autant exposées à de sévères conséquences pour la poursuite de leur activité, les PME sont souvent peu protégées, faiblement résilientes. Souvent loin du cœur de métier, la cybersécurité requiert des compétences rares (voire inexistantes) en interne et difficiles à mobiliser en externe. Perçue comme complexe, elle rend la mise en place d’une démarche de gestion des risques numériques difficile à initier pour beaucoup d’entreprises.
L’accroissement de la maturité cyber et du niveau de protection des PME et ETI, en fonction de leurs risques et enjeux, est une priorité pour le tissu économique français.
* * * * *
Si l’obtention d’un bon niveau de maturité en cybersécurité est effectivement une entreprise complexe nécessitant expertise et ressources, la mise en place d’une démarche de sécurité « raisonnable », adaptée à la menace à laquelle la plupart des entreprises font face et à leurs enjeux, est en revanche assez simple et peu coûteuse.
La démarche débute par la prise en compte des enjeux stratégiques et du contexte de l’entreprise, de ses activités clés, de ses actifs informationnels et de ses processus opérationnels. Une analyse de risque (pouvant être simplifiée) est menée afin de cartographier les risques majeurs et, au regard de chacun d’entre eux, d’identifier un plan de traitement visant à le rendre acceptable. Cette analyse débouche sur un plan de montée en maturité cyber comprenant des mesures organisationnelles, humaines, physiques, opérationnelles et techniques visant à maîtriser les risques sur l’information.
Voici quelques exemples de mesures qui sont souvent mises en œuvre dans ce contexte :
- gouvernance : engagement de l’équipe de direction et des métiers, connaissance et classification des actifs informationnels et numériques, cartographie des risques, politique de sécurité, élaboration d’un plan d’amélioration, assurance cyber, conformité RGPD…
- processus : maîtrise du parc numérique et de ses évolutions, mises à jour, sauvegardes, gestion des identités et des accès, configuration sécurisée des infrastructures informatiques, protection des accès à privilège…
- ressources humaines : gestion des départs et des arrivées, charte informatique, sensibilisation des équipes, attribution des droits…
- technique et outils : authentification forte, segmentation, protection des postes de travail, sécurité des accès, cryptographie, protection du courrier électronique, journalisation…
Auxquels s’ajoutent un minimum de protection physique et un peu de surveillance du réseau.
* * * * *
Cette démarche de montée en sécurité « raisonnable » n’est ni secrète ni mystérieuse. S’il veut la piloter lui-même, de nombreux guides existent pour aider le dirigeant à mettre en place sa démarche de gestion des risques numériques, y compris pour les petites organisations, parmi lesquels :
- la cybersécurité pour les PME/TPE en 13 questions de l’ANSSI,
- guide pratique de sécurité numérique du Pôle d’Excellence Cyber,
- guide cybersécurité à destination des dirigeants de Bpifrance et Cybermalveillance.gouv.fr,
- guide cybersécurité pour les PME Belgique, du Centre pour la Cybersécurité Belgique
- guide de la sécurité pour les PME de l’ENISA.
Des diagnostics en ligne gratuits existent également, qui peuvent aider à la prise de conscience.
S’il n’a pas le temps nécessaire, ni la compétence disponible à ses côtés, ou s’il préfère se faire aider, le dirigeant peut aussi faire appel à un consultant expert pour l’aider à démarrer sa démarche. Pour une petite entreprise, une telle mission représente quelques jours de prestation ponctuelle et lui coûtera 4k€ à 5k€. Sans qu’une comparaison directe fasse sens, notons quand même que le coût moyen d’un sinistre cyber serait d’environ 3,7M€ en France (source IBM, toutes tailles d’entreprises confondues).
En quelques semaines, la démarche peut être initiée et la stratégie élaborée. Le plan de montée en maturité cyber qui se met en place peut ensuite donner des premiers résultats concrets très vite et améliorer très significativement le niveau de cybersécurité de l’entreprise en quelques mois. Certes ce sera une sécurité « raisonnable » et non une sécurité de haut niveau, mais elle sera suffisante pour que, dans la plupart des cas, les attaquants préfèrent s’en prendre à d’autres cibles moins défendues.
Alors, ne prenons pas le risque qu’une attaque mette l’entreprise à genoux. D’autant plus que la question n’est pas de savoir si cela arrivera, mais quand !
Vous cherchez de l’expertise en cybersécurité pour votre PME ?
Nos consultants experts peuvent vous aider pour le diagnostique ainsi que le plan d’actions très concret et sur-mesure pour votre entreprise.
Si vous cherchez un expert consultant, consultez nous !