Les entreprises sont-elles en train de changer leur façon d’appréhender le sujet de la cybersécurité ? C’est ce qu’entrevoient les résultats d’une étude internationale d’Insight Avenue pour ESET pointant des signaux encourageants d’une meilleure prise de conscience des risques et des enjeux. Parmi les bons élèves, les PME françaises.
Dans un contexte de crises mondiales où les cyberattaques sont en augmentation, déstabilisant toutes les organisations, la question de la cybersécurité n’a jamais été aussi cruciale. Alors que les menaces et attaques vont continuer et parfois même s’accélérer au cours des prochains mois (virus/malwares, ransomwares, attaques sur la supply chain, problèmes de sécurité 5G, etc.), un tournant semblerait toutefois s’opérer du côté des petites et moyennes entreprises. Elles sont de plus en plus nombreuses, quel que soit le secteur d’activité et le pays, à se montrer en alerte sur les enjeux que revêt la cybersécurité. Ce qu’une étude d’Insight Avenue pour ESET met en avant : 83 % des 1 212 responsables de la cybersécurité interrogés (ils travaillent au sein de PME de 14 pays répartis à 75 % sur la zone EMEA et à 25 % en NORAM) déclarent que la cyberguerre représente « une menace très réelle » pouvant toucher tout le monde.
Si les grands groupes ont souvent eu un temps d’avance sur le sujet avec des moyens financiers alloués, les petites et moyennes entreprises ne désarment pas et veulent désormais pouvoir (mieux) s’y préparer en se protégeant. « Elles prennent la mesure des risques qu’elles encourent avec une volonté d’engager des audits de sécurité, si ce n’est pas déjà fait, ou encore de déployer des solutions EDR, MDR ou XDR*, » analyse à la lecture de l’étude Benoît Grunemwald, expert en cybersécurité pour ESET France. « C’est un signe de maturité. » Pour elles, les deux principales préoccupations et craintes sont avant tout : la perte de données (69 % en EMEA, 66 % en France) et les impacts financiers (68 % en EMEA, mais 78 % en France).
Plusieurs éléments relevés par les données de l’enquête confirment cette marche en avant à laquelle prennent part activement les PME françaises.
Parmi les points déterminants, celui de la mise en place d’audits de sécurité réalisés au cours des douze derniers mois. Une première étape révélatrice de cette bascule. De manière globale, pour la zone EMEA, 63 % des déclarants disent en avoir réalisé un. Dans le haut du tableau, 70 % pour des entreprises allemandes et tchèques, 60 % pour les Françaises. « Ce niveau est un bon indicateur de ce qu’il faut faire », observe Benoît Grunemwald. Derrière ces inspections, il s’agit à la fois de pointer les carences en matière de sécurité de l’entreprise pour en déterminer les axes d’amélioration et de développement.
Pour de meilleurs résultats, l’audit doit en même temps s’accompagner d’une sensibilisation des collaborateurs aux enjeux cybers. « L’un ne va pas sans l’autre. » Ne pas le faire augmenterait ainsi le risque de vulnérabilité d’une entreprise, détaille l’étude.
L’une des premières mesures prises par les PME pour se protéger est de durcir les outils d’accès à distance. 51 % des entreprises françaises demandent à leur collaborateur d’utiliser un VPN d’entreprise et 48 % se dotent d’une authentification multifacteur. Une tendance dans la moyenne européenne et américaine. « Un élément de base, car il s’agit de protéger les systèmes d’information, les données personnelles et les données industrielles », annonce Benoît Grunemwald. Dans les audits, il ressort également que les PME éprouvent de l’intérêt pour des solutions EDR, MDR ou XDR. D’ailleurs, 34 % des entreprises françaises déclarent utiliser une solution de ce type actuellement. « Elles se rendent compte qu’elles ont besoin d’une protection optimale et significative adaptée à leur taille. La clé pour qu’elles puissent faire face aux cyberisques. » Pour cela, certaines font le choix d’externaliser tout ou une partie des services et protection et surveillance cyber.
Alors que 74 % des PME estiment être plus vulnérables aux cyberattaques que des entreprises plus importantes - disposant de moyens conséquents (humains, technologiques), elles ont mis du temps à prendre ce réflexe. Mais aujourd’hui, il semblerait que la situation évolue dans le bon sens. En France notamment.
Environ 70 % des PME se disent prêtes à confier le management de leur cybersécurité à une société experte du domaine (tandis que 30 % n’envisagent toujours pas de sous-traiter). Sans compter que 41 % alertent sur la fatigue que la surveillance des risques peut générer au quotidien. « Démontrant toute la pertinence de faire externaliser sa cybersécurité en faisant confiance à un professionnel. Ce dernier va mutualiser ses compétences et connaissances pour en faire bénéficier tous ses clients », reconnaît l’expert d’ESET France. La question budgétaire reste entière. On note l’évolution des prestataires informatiques qui mûrissent également et adaptent leurs offres à ces besoins nouveaux.
52 % des professionnels français constatent les limitations budgétaires et/ou le manque d’investissement dans la cybersécurité de leur entreprise. Il s’agit de l’un des principaux défis à relever. « Heureusement, la situation est en train de changer », prévient Benoît Grunemwald. Malheureusement, l’investissement dans les dispositifs de cybersécurité est réalisé encore trop souvent après une attaque. Ce que l’étude rapporte : « De façon générale, les PME qui investissent massivement dans les outils, la formation et l’audit le font suite à une intrusion. » En France, elles sont 49 % à le faire pour de la formation ou 42 % pour s’équiper de nouveaux outils de cybersécurité. L’objectif à l’avenir étant que le budget cybersécurité soit établi en amont d’une menace, et donc avant qu’elle survienne.
D’autant que l’étude montre une nouvelle fois tout l’intérêt pour une entreprise à disposer d’une stratégie forte en la matière. 84 % des responsables de la cybersécurité en France (91 % au Canada et 90 % en Italie) déclarent qu’ « une cybersécurité efficace donne aux entreprises la confiance nécessaire pour se développer et innover », créant ainsi les conditions optimales auprès de l’ensemble de son écosystème.