Logo bconnex
Menu
close
Menu
close

Cybersécurité : quels enjeux pour les PME/ETI ?

18 décembre 2024

Ces dernières années, la transformation numérique et la dématérialisation rapide, exacerbées par l’avènement du télétravail, du travail mobile et du travail hybride, ont élargi la surface d'attaque des entreprises. 

Les attaquants ont aujourd’hui une multitude de portes d’entrée pour attaquer les entreprises, même les PME et les ETI, qui sous-estiment encore bien trop souvent l’importance de la cybersécurité pour elles. 

Malheureusement, la plupart des PME/ETI pense, à tort, que leur taille les protège, ce qui les expose à divers cyber-risques. 

Quels sont les enjeux cyber pour les PME et ETI ? Quelles sont les bonnes pratiques de cybersécurité pour les PME et ETI ? 

Nous détaillons cela dans cet article 👇🏻 

Qu’est-ce que la cybersécurité ? 

La cybersécurité désigne l’ensemble des méthodes permettant la protection des données (des organisations, des collaborateurs, des clients, des fournisseurs,...) et des systèmes d’information (SI). 

Dans un monde toujours plus digitalisé, la majorité écrasante des entreprises sont construites autour de ces systèmes d’information (SI). Ces systèmes d’information sont donc centraux pour les entreprises, quelle que soit leur taille, de même que leur protection par des méthodes et des outils adaptés. 

Ces dernières années, la transformation numérique et la dématérialisation rapide, exacerbées par l’avènement du télétravail, du travail mobile et du travail hybride, ont élargi la surface d'attaque des entreprises. 

Par ailleurs, le risque se voit d’autant plus décuplé que la surface d’attaque ne l’est grâce à la diversité des appareils utilisés aujourd’hui par les collaborateurs (smartphone, tablette, ordinateur portable,…). 

💡 En 2023, les cyberattaques ont augmenté de 38 % au niveau mondial, touchant particulièrement les PME (source : rapport de Check Point Research). 

Tout cela vient renforcer le besoin d’une bonne protection pour les organisations de toutes tailles (de la PME au grand groupe international) de tous types (privées et publiques). 

En outre, les attaquants ont aujourd’hui une multitude de portes d’entrée pour attaquer les entreprises, même les PME et les ETI, qui sous-estiment encore bien trop souvent l’importance de la cybersécurité pour elles. 

💡 Le saviez-vous ? Ces dernières années, le phishing et les rançongiciels (ransomware) sont les deux principales méthodes d’attaque contre les entreprises, et leurs conséquences ne sont pas des moindres. 

- Phishing : l’envoi aux collaborateurs d’e-mails ou SMS réalistes en se faisant passer pour une entreprise de confiance en vue de récupérer des données sensibles voire personnelles (numéro de carte bleue, mot de passe de compte professionnel,…). Ces informations pourront être utilisées par l’attaquant, entre autres, pour accéder aux comptes d’entreprise des collaborateurs (Microsoft, Google,…) et récupérer ainsi d’autres données sensibles sur l'entreprise, les collaborateurs, mais aussi les clients, les partenaires, etc.  

- Rançongiciel (ransomware) : le vol de données sensibles avec éventuel blocage du système en vue d’une demande de rançon en échange du déblocage du système d’information ou de l’effacement/non-divulgation des données sensibles. 

Les enjeux cyber pour les PME et ETI 

La prise de conscience envers le risque cyber

La plupart des PME/ETI pense, à tort, que leur taille les protège. Les PME/ETI pensent qu’elles sont assez petites pour ne pas avoir besoin de solutions ou mesures de cybersécurité, et cela conduit à une faible allocation de budget en cybersécurité. Le RSSI (Responsable Sécurité des Systèmes d’Information) a donc un rôle critique dans les PME et les ETI. 

En effet, l’enjeux pour ces entreprises n’est pas tant la couverture du risque que la prise de conscience des dirigeants. Car si les dirigeants de l’entreprise n’ont pas connaissance du risque encouru, il sera plus compliqué pour le RSSI, RSI ou DSI de faire valider le budget nécessaire à la mise en place d’un outil de cybersécurité. Lorsque la direction de l’entreprise prend conscience du risque et connaît les solutions pour y remédier, les projets de cybersécurité peuvent être validés et mis en œuvre. 

💡 Chez bconnex, nous proposons la mise en place de preuve de valeur sur un périmètre restreint. Ce POV (Proof of Value) permet de rendre visibles les risques cyber. Un retour d’expérience est réalisé à la fin du POV pour présenter les résultats de manière concrète et compréhensible. 

L’absence de protection/détection 

Comme les PME/ETI pensent souvent qu’elles sont assez petites pour ne pas avoir besoin de solutions ou pratiques « fixes »/déterminées de cybersécurité, elles ne sont souvent équipées ni pour la détection des cyber-risques ni pour la protection vis-à-vis de ces derniers. 

La surveillance proactive (via des solutions de détection d’intrusions, des audits réguliers, etc.) est un point essentiel de la cybersécurité des organisations. Mais ces outils manquent souvent dans les PME, les rendant vulnérables à des attaques silencieuses qui ne sont découvertes qu’après les dégâts. 

Le manque de sensibilisation des collaborateurs 

L’utilisateur est en première ligne des cyberattaques. Les collaborateurs sont un point d’entrée privilégié pour les cyberattaquants, et d’ailleurs la majorité écrasante des incidents de cybersécurité a une cause humaine, notamment via le phishing ou des erreurs de configuration (source : Verizon Data Breach Investigations Report (DBIR) 2022). 

Et malheureusement, pensant être protégées par leurs tailles, les PME/ETI négligent souvent la sensibilisation de leurs collaborateurs.  

💡 La majorité des cyberattaques commencent par un lien malveillant, une fausse facture, une pièce jointe malhonnête… et un collaborateur qui tombe dans le piège ! 

Pourtant, ce n’est qu’en formant et sensibilisant les collaborateurs que, par exemple, les tentatives de phishing n’aboutiront pas et que les données des collaborateurs et de l’organisation resteront protégées. 

💡 L’année 2022 a connu le pourcentage le plus élevé de cas de phishing mobile jamais enregistré : en moyenne de plus de 30 % d'utilisateurs personnels et d'entreprises exposés à ces attaques chaque trimestre (Source : Lookout, « Mobile Threat Landscape Report: 2023 in Review »).  

Pour plus d’informations à ce sujet, découvrez notre article dédié : https://betoobe.fr/articles/culture-cybersecurite-la-place-centrale-du-collaborateur/ 

De forts enjeux de conformité légale et règlementaire 

Avec des législations de plus en plus strictes (RGPD pour l’Union Européenne par exemple), les PME/ETI doivent se conformer à des normes de sécurité sous peine de sanctions. Le non-respect de ces normes peut entraîner des amendes importantes en cas de fuite de données, 

La non-conformité légale et règlementaire peut également entrainer la perte de confiance des clients et des partenaires. La violation de données peut nuire à la réputation d'une entreprise, affectant la fidélité des clients et la confiance des partenaires. C’est notamment en ce sens que les grands groupes et les gouvernements exigent de plus en plus de garanties en matière de cybersécurité avant d'établir des partenariats. 

Les bonnes pratiques de cybersécurité pour les PME et ETI  

La cybersécurité doit donc devenir un aspect central pour les PME/ETI. Mais quelles sont donc les bonnes pratiques en matière de cybersécurité pour les PME/ETI ? 

  1. Avoir des postes spécialisés et dédiés (RSSI,…)
  2. Allouer un budget dédié 
  3. Vérifier les contrats avec les fournisseurs et auditer leur cybersécurité 
  4. Planifier la cybersécurité en amont de tout projet IT 
  5. Mettre en place un plan de réponse aux incidents 
  6. Effectuer des sauvegardes régulières 
  7. Effectuer des restaurations de sauvegardes pour valider les processus 
  8. Sécuriser les terminaux mobiles et distants en plus des réseaux 
  9. Gérer les droits et accès de façon ciblée avec une stratégie de « Moindre Privilège »
  10. Effectuer régulièrement des mises à jour logicielles et applicatives 
  11. Séparer les usages personnels des usages professionnels 
  12. Former et sensibiliser ses collaborateurs 
  13. S’entourer de partenaires spécialisés en cybersécurité des parcs IT et mobiles (MSP, Managed Services Providers, ou MSSP, Managed Security Services Providers) 

Sources des statistiques citées dans l’article

  

Quel serait l'impact d'une cyberattaque sur votre organisation aujourd'hui ? 

bconnex vous aide à auditer votre niveau de protection actuel et à mettre en place un plan de réponse aux incidents. 

bconnex est également le premier partenaire Lookout en France à être MSP et à proposer des services managés pour votre flotte de mobiles.  

Je contacte bconnex 👇🏻

D'autres articles pour vous...

18 décembre 2024
Cybersécurité : quels enjeux pour les PME/ETI ?
Lire la suite
22 août 2024
bconnex vise l’excellence même dans les appareils reconditionnés fournis à ses clients
Lire la suite
24 juillet 2024
10 étapes pour rendre son parc IT plus responsable
Lire la suite

bconnex

Vous proposer un point d’entrée unique dans la fourniture et la gestion de l’environnement de travail utilisateur en toute sécurité et de façon responsable
Be connected
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram