MtoM Mag - Le journal de l'MtoM.

Le dernier rapport de Kaspersky intitulé « Cybersécurité des PME : comprendre les failles, combler les manques, identifier l’essentiel » révèle que 26 % des responsables informatiques déclarent que les cadres exécutifs de leur entreprise ne saisissent pas le réel intérêt commercial de la cybersécurité. Cette divergence souligne une fracture structurelle entre les priorités affichées lors des conseils d’administration et la réalité des besoins en matière de dispositifs de cybersécurité.

Dans les équipes de sécurité des entreprises européennes, la pression opérationnelle est omniprésente et toutes les personnes en charge doivent mettre les bouchées doubles : pour près d’un tiers (31 %) des responsables informatiques, le suivi des menaces potentielles est un travail à plein temps. De plus, ils sont un sur cinq (20 %) à se sentir submergés par le nombre d’alertes, peinant à faire le distinguo entre les incidents critiques et les signaux parasites. Pour ne rien arranger, 18 % des répondants déclarent passer plus de temps à résoudre des problèmes liés à des outils défectueux plutôt qu’à se défendre contre des menaces réelles et à lutter contre les cyberattaques. Le constat est clair : les efforts déployés sont importants, mais leur impact reste limité. Autre ombre au tableau, 18 % des responsables interrogés trouvent que les solutions de sécurité ralentissent les flux de travail ou la production : ces obstacles opérationnels se traduisent déjà par des atteintes aux activités commerciales.

Lutte contre les cybermenaces, lutte pour se faire entendre : même combat ?

Les menaces qui ciblent les entreprises sont protéiformes, Dans les entreprises européennes, les portes dérobées (24 %), les chevaux de Troie (17 %) et les downloader « not-a-virus » (16 %) sont les plus répandus. Elles sont également de plus en plus régulières et de plus en plus massives. A titre d’exemple, en septembre, la cyberattaque qu’a subi Jaguar Land Rover a contraint l’entreprise à mettre en pause ses activités pendant près d’un mois, équivalent à une perte d’environ 57 millions d’euros par semaine.

Les chiffres alarment et pourtant, les lacunes des cadres dirigeants en matière de prise de décision liées à la défense augmentent l’exposition des entreprises et de leurs actifs. En effet, plus d’un quart (26 %) des responsables informatiques interrogés affirment que leurs homologues du comité de direction ne comprennent pas pleinement la dimension stratégique de la cybersécurité, freinant les initiatives visant à améliorer les dispositifs de défense. 21 % d’entre eux s’inquiètent de la pénurie de spécialistes qualifiés, conduisant la plupart des PME à s’appuyer sur leurs équipes IT généralistes (35 %) ou sur des experts en cybersécurité intégrés à ces équipes (25 %). Seules 29 % des entreprises sondées disposent d’une équipe dédiée à la cybersécurité, et à peine 7 % confient cette mission à des partenaires externes directement impliqués dans la conception et la gestion de leur sécurité. Paradoxalement, en interne, la satisfaction est élevée : 76 % se disent satisfaits des experts cybersécurité intégrés, 72 % de leurs départements IT dans leur ensemble, et 81 % de leurs équipes de cybersécurité internes, signe d’un écart de perception entre la performance perçue et l’exposition réelle aux risques.

« Ce qui frappe, ce n’est pas le manque d’outils, mais le manque de cohérence. Les signaux d’alerte arrivent plus vite que les décisions ne sont prises : les contrôles et les processus s’entrechoquent, et la question de la responsabilité se dilue précisément au moment où il faudrait passer à l’action. Dans de nombreuses PME, la sécurité au quotidien repose encore sur des équipes IT généralistes ou sur un seul expert dédié, forcé à faire cavalier seul. Avec seulement 29 % d’entreprises disposant d’une équipe cybersécurité à part entière, cette fragilité se ressent à chaque incident et dans chaque chaîne de prise de décision. Résultat : une exposition silencieuse, un traitement des priorités ralenti, des informations qui se perdent, et des problèmes opérationnels qui s’accumulent pour devenir des risques stratégiques. Il est urgent que les décideurs renforcent leurs équipes de sécurité en leur mettant à disposition les investissements, les solutions et le personnel adéquats. Surtout, ils doivent reconnaître que la cybersécurité est un enjeu business à part entière et combler le fossé qui persiste entre les priorités du comité de direction et la réalité du terrain. » commente Tony Audoin, Head of Channel de Kaspersky France. https://www.kaspersky.fr