MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Les attaquants ont aujourd’hui une multitude de portes d’entrée pour attaquer les entreprises, même les PME et les ETI, qui sous-estiment encore bien trop souvent l’importance de la cybersécurité pour elles. Malheureusement, la plupart des PME/ETI pense, à tort, que leur taille les protège, ce qui les expose à divers cyber-risques.
En 2023, les cyberattaques ont augmenté de 38 % au niveau mondial, touchant particulièrement les PME (source : rapport de Check Point Research). Tout cela vient renforcer le besoin d’une bonne protection pour les organisations de toutes tailles (de la PME au grand groupe international) de tous types (privées et publiques). En outre, les attaquants ont aujourd’hui une multitude de portes d’entrée pour attaquer les entreprises, même les PME et les ETI, qui sous-estiment encore bien trop souvent l’importance de la cybersécurité pour elles. Ces dernières années, le phishing et les rançongiciels (ransomware) sont les deux principales méthodes d’attaque contre les entreprises, et leurs conséquences ne sont pas des moindres.
La plupart des PME/ETI pense, à tort, que leur taille les protège. Les PME/ETI pensent qu’elles sont assez petites pour ne pas avoir besoin de solutions ou mesures de cybersécurité, et cela conduit à une faible allocation de budget en cybersécurité. Le RSSI (Responsable Sécurité des Systèmes d’Information) a donc un rôle critique dans les PME et les ETI. En effet, l’enjeux pour ces entreprises n’est pas tant la couverture du risque que la prise de conscience des dirigeants. Car si les dirigeants de l’entreprise n’ont pas connaissance du risque encouru, il sera plus compliqué pour le RSSI, RSI ou DSI de faire valider le budget nécessaire à la mise en place d’un outil de cybersécurité. Lorsque la direction de l’entreprise prend conscience du risque et connaît les solutions pour y remédier, les projets de cybersécurité peuvent être validés et mis en œuvre. Dans un premier temps, il est recommandé une mise en place de preuve de valeur sur un périmètre restreint. Ce POV (Proof of Value) permet de rendre visibles les risques cyber et de présenter les résultats de manière concrète et compréhensible.
La surveillance proactive (via des solutions de détection d’intrusions, des audits réguliers, etc.) est un point essentiel de la cybersécurité des organisations. Mais ces outils manquent souvent dans les PME, les rendant vulnérables à des attaques silencieuses qui ne sont découvertes qu’après les dégâts. L’utilisateur est aussi en première ligne des cyberattaques.
Avec des législations de plus en plus, les PME/ETI doivent se conformer à des normes de sécurité sous peine de sanctions. Le non-respect de ces normes peut entraîner des amendes importantes en cas de fuite de données, La non-conformité légale et règlementaire peut également entrainer la perte de confiance des clients et des partenaires. La violation de données peut nuire à la réputation d’une entreprise, affectant la fidélité des clients et la confiance des partenaires. C’est notamment en ce sens que les grands groupes et les gouvernements exigent de plus en plus de garanties en matière de cybersécurité avant d’établir des partenariats.
Avoir des postes spécialisés et dédiés (RSSI,…)
Allouer un budget dédié
Vérifier les contrats avec les fournisseurs et auditer leur cybersécurité
Planifier la cybersécurité en amont de tout projet IT
Mettre en place un plan de réponse aux incidents
Effectuer des sauvegardes régulières
Effectuer des restaurations de sauvegardes pour valider les processus
Sécuriser les terminaux mobiles et distants en plus des réseaux
Gérer les droits et accès de façon ciblée avec une stratégie de « Moindre Privilège »
Effectuer régulièrement des mises à jour logicielles et applicatives
Séparer les usages personnels des usages professionnels
Former et sensibiliser ses collaborateurs
S’entourer de partenaires spécialisés en cybersécurité des parcs IT et mobiles (MSP, Managed Services Providers, ou MSSP, Managed Security Services Providers)
