Rechercher
  • CyberDetection

Cybersécurité : pourquoi les PME doivent penser grand

Article paru dans lemondeinformatique.fr par IDG.


Selon la National Cyber Security Alliance, une petite entreprise sur cinq est victime de la cybercriminalité chaque année. Et parmi les entreprises touchées, environ 60 % font faillite dans les six mois qui suivent l’attaque. Ces chiffres mettent à mal l’idée selon laquelle les cybercriminels concentrent leurs efforts sur les grandes entreprises. En réalité, la seule chose qui dicte la conduite des hackers est la vulnérabilité.


D’après le Ponemon Institute, qui suit les statistiques relatives à la sécurité et au respect de la vie privée, la récupération d'une attaque sur une base de données clients coûte en moyenne 194 dollars pour chaque dossier client compromis, sans compter les retombées en termes de réputation, les éventuelles poursuites judiciaires, les pertes d’activité… Rien d’étonnant à ce que de nombreuses PME ne parviennent pas à se relever d’une attaque.


Le facteur humain, élément central d’une politique de cybersécurité


La période de crise liée au Coronavirus a révélé l’importance des aspects humain dans la propagation des attaques informatiques. Avec la généralisation du télétravail, l'abandon de l'infrastructure informatique centralisée en un seul lieu a poussé certains collaborateurs à utiliser de vieux PC personnels, à se fier à des logiciels vulnérables et, en général, à ne pas suivre les meilleures pratiques en matière de sécurité, notamment en ce qui concerne leur utilisation du courrier électronique et des médias sociaux. Selon la start-up britannique Tessian, 52% des collaborateurs pensent pouvoir se permettre des comportements plus risqués lorsqu’ils travaillent à domicile, notamment en partageant des fichiers confidentiels par email. De son côté, le « State of dataloss report » observe que ce relâchement dans les pratiques de sécurité tient en partie au fait que les salariés travaillent avec leur propre appareil plutôt que du matériel provenant de l’entreprise, ce qui leur donne le sentiment d’être moins surveillés par les équipes informatiques et de pouvoir prendre des risques inhabituels.

A ces facteurs humains viennent généralement s’ajouter un manque de moyens de surveillance, d'analyse, de journalisation, d'audit, d'examen, de tests d'intrusion et d'autres moyens de défense et systèmes d'alertes qui permettraient aux PME de détecter les risques en amont. Parallèlement, toutes les entreprises s’appuient désormais sur une multitude d’appareils connectés et de services dans le cloud, qui élargissent le spectre des attaques. Les appareils mobiles non sécurisés, en particulier les téléphones et tablettes Android, utilisés comme matériel professionnel BYOD (Bring Your Own Device), constituent une porte d’entrée pour les logiciels malveillants. Après avoir récupéré les identifiants et mots de passe d’un utilisateur commercial par exemple, le pirate a le champ libre pour faire des ravages dans les comptes clients.

Les chefs de petites et moyennes entreprises sont de plus en plus éveillés à ces risques. Pour preuve, la sécurité était déjà leur principale préoccupation avant la pandémie, selon un rapport IDG-Dell publié en 2019. C’est d’autant plus vrai aujourd’hui.


Protégez votre PME contre les menaces : Par quoi commencer ?


Sans parler de déployer un arsenal de professionnels de la sécurité informatique pour protéger vos données sensibles, il existe quelques mesures simples à adopter pour se protéger des cybermenaces. La première d’entre-elles est d’utiliser des mots de passe et un cryptage sécurisé sur chaque appareil de l’entreprise. Utilisez également un anti-virus et un firewall, mais gardez à l’esprit que les applications antivirus grand public ne constituent pas un rempart suffisant pour sécuriser l’infrastructure technique d’une entreprise. Les logiciels conçus pour l’entreprise permettent de bénéficier de mises à jour et de correctifs de sécurité – un élément clé car une grande majorité des attaques exploitent des failles sur les ordinateurs non patchés.

Pour en revenir à l’aspect humain, il est important de former le personnel et de diffuser les bonnes pratiques au sein de l’entreprise. N'utilisez pas le même mot de passe sur plusieurs comptes, évitez de suivre les liens contenus dans les emails et apprenez à repérer les menaces de phishing. Veillez à ce que tous les membres de votre personnel soient au courant et rappelez-leur souvent ces informations. La communication avec les membres de l’entreprise sur ces sujets doit être constante et les bonnes pratiques connues de tous. Travailler avec un partenaire de confiance peut vous aider à mettre en place ces règles essentielles, notamment en termes de droits d’accès de chaque collaborateur aux données de l’entreprise. Il est important de déterminer ce dont les employés ou les partenaires commerciaux extérieurs ont réellement besoin en termes de réseau et d'applications pour mener à bien leurs tâches quotidiennes.

Enfin, qu'il s'agisse d'ordinateurs de bureau, de serveurs traditionnels, de services dans cloud ou d'appareils mobiles, les chefs d'entreprise doivent pouvoir identifier clairement les lieux où sont conservées les données les plus sensibles.


Sur un plan opérationnel, posez-vous la question de savoir comment les employés pourraient procéder si votre site physique n'était soudainement plus disponible. Prévoyez des interruptions qui pourraient durer des semaines, voire des mois, et mettez en place des plans de reprise après sinistre en prenant soin de les tester pour vous assurer de leur viabilité.


Ces démarches peuvent sembler fastidieuses mais sont nécessaires pour déployer les bases de la sécurité informatique de votre PME. Votre organisation a beau être petite, il est impératif de voir les choses en grand, tout particulièrement sur un aspect aussi crucial que la sécurité informatique.



À LIRE AUSSI :

7 mythes de la cybersécurité qui font plus de mal que de bien

De la nécessité de renforcer la cybersécurité en France

LA CYBERSÉCURITÉ POUR PETITES ET MOYENNES ENTREPRISES

DÉTECTION PAR ANTICIPATION

DES CYBERMENACES

L'actualité Cybersécurité &

Les nouveautés CyberDetection !