Les difficultés des PME pour se protéger des cyber-menaces

Des récentes recherches montrent non seulement que les PME sont la cible d’intrusions, mais également qu'elles ont encore du chemin à faire pour renforcer leur cybersécurité. Une enquête auprès de PME, réalisée par Barclaycard (fournisseur de cartes de paiement pour la banque Barclays), a constaté que de nombreuses entreprises ne font pas de la cybersécurité leur priorité, en dépit des craintes généralisées concernant la criminalité en ligne.

Barclaycard a interrogé plus de 250 PME afin d'évaluer leur capacité à pouvoir faire face à une cyber-attaque et a constaté que seulement 20% des entreprises définissaient la cyber-sécurité comme une priorité absolue. Les résultats contredisent d’autres conclusions selon lesquelles 48% des entreprises interrogées ont déjà été victimes d'au moins une attaque en 2015, dont 10% ayant été touchées quatre fois ou plus. 54% des sondés ont aussi affirmé qu'ils redoutaient d’être attaqués à l’avenir.

 

Plutôt que de prendre des mesures pour atténuer les risques, 16% des entreprises interrogées précisent qu'elles se penchent plus concrètement sur leur sécurité qu’à la suite d'une attaque. L'enquête a également montré que seulement 13% des entreprises étaient certaines que leur propre connaissance en cyber-sécurité était suffisante pour lutter contre les menaces.

Une autre enquête menée entre mars et mai 2016 par le Ponemon Institute, estime que plus de 50% des PME nord-américaines interrogées ont subi une faille de sécurité en 2015. Seulement 14% des entreprises interrogées ont évalué leur capacité à atténuer les cyber-attaques comme très efficace.

La confiance des PME quant à leur la posture vis-à-vis de la cybersécurité « est aussi faible principalement parce que le personnel, le budget et les technologies ne sont pas suffisants », affirme le rapport. En outre, la priorisation de la mise en œuvre de la sécurité IT « n’est pas centralisée à une fonction spécifique dans l’entreprise, réduisant ainsi la responsabilité et aboutissant à une prise de décision moins informée ».

Les attaques les plus courantes contre les PME sont réalisées via le Web et impliquent des techniques de phishing et d'ingénierie sociale, selon le rapport du Ponemon Institute. Des technologies largement adoptées telles que les antivirus sont toujours utiles, mais ne sont pas suffisantes à elles seules contre les exploits et les cyber-attaques.

L’étude révèle aussi que les PME manquent fortement de contrôle et de visibilité en ce qui concerne la sécurité des mots de passe utilisés par les employés. Les mots de passe forts et les données biométriques sont considérés comme des éléments clés de la sécurité, mais 59% des sondés ont déclaré n’avoir aucune visibilité sur les pratiques de mot de passe des employés et 65% ne font pas respecter strictement leurs politiques vis-à-vis des mots de passe.

D'autres recherches indiquent que les PME réduisent leurs dépenses en sécurité à un moment où les menaces sont de plus en plus présentes. Par exemple, le « Global State of Information Security Survey 2015 » de PwC explique que les entreprises dont le chiffre d’affaires est inférieur à 90 millions d’euros ont diminué leurs dépenses de sécurité d'environ 20% en 2014, tandis que celles dont le revenu est supérieur ont augmenté leur niveau d’investissement en sécurité de 5%.

Même si les PME ne peuvent pas avoir le même budget ou expertise en interne qu’une grande entreprise, celles-ci peuvent prendre certaines mesures pour se défendre contre les dernières menaces.

 

 

Tout d’abord, elles peuvent embaucher spécialiste en sécurité pour la planification, la mise en place et la gestion d’un programme de sécurité, y compris pour la définition des politiques et procédures de sécurité à mettre en place au sein de la société. Pour choisir la bonne personne, il faut savoir de quel type d'expertise vous avez besoin et si elle peut répondre à vos besoins spécifiques. Pour certains types d'entreprises, comme celles des secteurs de la finance ou du médical, il est préférable que les exigences spécifiques inhérentes à l’industrie soient bien prises en compte, telles que la conformité aux réglementations en place.

Ensuite, une autre bonne pratique est de faire une évaluation approfondie des outils de sécurité pour déterminer ceux qui sont les plus appropriés, plutôt que de simplement acquérir les dernières technologies parce qu'elles viennent tout juste de sortir. Votre budget est sûrement serré, c’est pourquoi il faut s’assurer d'investir dans des solutions qui répondent à vos besoins ou à vos faiblesses en particulier. Par exemple le blocage des malwares les plus sophistiqués ou la sécurisation des accès par les employés au réseau et aux données autorisées.

Lorsque l'on s’intéresse à ce type de solutions, il ne faut pas oublier que la protection du périmètre ne doit être qu’une partie de la stratégie de sécurité. Les entreprises doivent être certaines d'assurer également la sécurité des postes de travail. Cela est particulièrement important étant donné que de nombreux utilisateurs peuvent avoir accès à des applications et des données via leurs appareils mobiles et le cloud.

Les PME peuvent aussi avoir une posture de sécurité forte en mettant à jour en permanence leurs politiques de sécurité et leurs lignes directrices. Si l'entreprise utilise toujours des procédures créées il y a cinq ans, il se pourrait même qu’il n’y soit fait aucune mention de l’utilisation sécurisée des appareils mobiles, de ce qui est acceptable en termes d’utilisation des réseaux sociaux au travail, ni la bonne façon d'accéder aux applications basées dans le cloud.

Enfin, dans le cadre de la définition des procédures de sécurité, les PME seraient bien avisées d’éduquer leurs employés sur les problématiques de sécurité et de rappeler à tout le monde que la cybersécurité est au final un travail d'équipe.