Les petites et moyennes entreprises (PME) sont de plus en plus visées par la cybercriminalité. Les acteurs malveillants ont bien identifié la vulnérabilité de ces organisations aux ressources limitées et aux stratégies de cybersécurité trop sommaires. En outre, ces entités de taille plus modeste sont souvent perçues comme des passerelles vers de plus grosses organisations le long de la chaîne logistique, ce qui peut en faire des cibles potentiellement lucratives.
98 % des cyberattaques visant les PME sont motivées par l’appât du gain, et 54 % passent par des identifiants piratés - 2023 Verizon DBIR
Pour mieux comprendre comment ces tendances se manifestent au sein des PME, LastPass a récemment interrogé plus de 600 dirigeants et responsables informatiques d’entreprises de moins de 3 000 employés.
L’étude a révélé un schéma inquiétant : bien que les dirigeants de PME ont une approche plus proactive de la cybersécurité, notamment en développant la sensibilisation et l’investissement dans des mesures de sécurité, les personnes interrogées constatent que les comportements humains provoquent des failles de sécurité importantes qui peuvent exposer ces organisations aux cybercriminels.
Comment les dirigeants de PME peuvent-ils combler ces failles ? Lisez la suite pour découvrir l’analyse et les conseils de l’équipe de renseignement sur les cybermenaces de LastPass.
Un décalage en matière de responsabilité
Le phénomène le plus marquant identifié par l’enquête est le décalage entre les actions des dirigeants et les comportements des employés.
Les dirigeants sont plus soucieux de la cybersécurité et investissent davantage dans ce domaine, puisque 90 % des responsables informatiques et 80 % des autres dirigeants déclarent avoir renforcé les mesures de cybersécurité au cours de l’année écoulée, et sachant que 82 % des entreprises ont augmenté leur budget en matière de cybersécurité.
Par ailleurs, 92 % des chefs d’entreprises et 93 % des responsables informatiques estiment que les employés comprennent les attentes en matière de sécurité. Et la majorité des dirigeants et responsables informatiques disent avoir confiance dans leurs mesures de cybersécurité. En effet, ils ne sont que 30 % à penser que leur entreprise est exposée à un risque de cybersécurité important.
Bien que les dirigeants de PME ont une approche plus proactive de la cybersécurité, les facteurs humains peuvent toujours créer des failles de sécurité importantes qui fragilisent ces organisations.
Pourtant, l’enquête suggère que la réalité sur le terrain est tout autre :
● seuls 78 % des responsables non informatiques pensent que les employés comprennent les attentes en matière de sécurité liées à leurs tâches
● 1 dirigeant d’entreprise sur 5 admet contourner les règles de sécurité
● 1 responsable informatique sur 10 admet contourner les règles de sécurité
● 1 jeune travailleur sur 4 est enclin à enfreindre les règles
● 36 % des employés de la génération Z avouent noter leurs mots de passe par écrit
L’étude suggère que bien que les investissements financiers dans la cybersécurité augmentent, les investissements qualitatifs sont tout aussi essentiels.
Comment combler les failles : conseils et meilleures pratiques en matière de cybersécurité
Compte tenu de ces résultats, les dirigeants de PME peuvent renforcer leurs stratégies de cybersécurité en se concentrant sur l’amélioration des règles, la formation des employés et le développement d’une culture de sensibilisation à la sécurité.
1er conseil : Renforcer l’éducation à la cybersécurité
Les dirigeants non informaticiens déclarent qu’un manque de compréhension, une sous-évaluation du danger et le rythme effréné au travail sont les principaux obstacles au respect des mesures contre les cybermenaces, ce qui suggère la pertinence de programmes éducatifs ciblant ces problèmes particuliers.
Pour combler le décalage de responsabilité, les PME ont intérêt à élaborer des stratégies de communication, et programmer des séances de formation régulières à tous les niveaux de l’organisation. Elles peuvent ainsi s’assurer que chaque employé comprend sa contribution à la cybersécurité, afin d’encourager la responsabilité et le changement de comportement de chacun.
Mais l’éducation ne doit pas être que verticale. Une communication plus efficace est nécessaire pour que tous les employés soient sur la même longueur d’onde en ce qui concerne les protocoles de sécurité. Les dirigeants doivent organiser des réunions transversales pour que tous les services de l’organisation comprennent les règles de cybersécurité et s’engagent à les respecter. Des audits et des réunions régulières pour faire le point peuvent également permettre d’identifier les lacunes dans certains domaines.
2e conseil : Préparez vos carottes et vos bâtons
Compte tenu des infractions aux règles constatées par l’étude, surtout parmi les employés les plus jeunes et chez certains responsables, les dirigeants de PME ont intérêt à mettre en œuvre une politique équilibrée, avec des incitations plus fortes à respecter les règles, et des conséquences plus sévères en cas de manquement. Une culture d’ouverture qui incite à signaler les infractions peut également permettre aux employés d’endosser un rôle de pro de la sécurité.
En outre, toute personne ayant travaillé suffisamment longtemps dans le domaine de la sécurité a déjà été témoin de contournements des règles pour pouvoir accomplir son travail. C’est pourquoi les dirigeants doivent mettre en œuvre des processus simplifiés qui permettent des exceptions aux règles de cybersécurité. Un processus simple et clair permettant à un employé d’obtenir l’autorisation temporaire de contourner une règle de sécurité peut aider les employés à accomplir leurs tâches sans tricher.
3e conseil : Adopter un programme de sécurité basé sur le cyber-renseignement
L’optimisme des dirigeants de PME en matière de sécurité est encourageant, mais l’optimisme peut conduire à un certain relâchement. Ces dirigeants ont intérêt à identifier les joyaux de leur couronne, les personnes qui les convoitent et les menaces les plus probables. Un programme de sécurité axé sur le cyber-renseignement peut les aider à comprendre les risques réels, au lieu de spéculer.
Les PME doivent mettre en œuvre une évaluation régulière des risques et une surveillance des menaces pour se forger une idée précise de leur posture de sécurité. L’adoption de stratégies proactives de recherche et de réponse aux menaces peut également permettre d’identifier et de limiter les risques avant qu’ils ne s’aggravent.
4e conseil : Utiliser un gestionnaire de mots de passe
L’étude révèle que la gestion des mots de passe est un domaine qui nécessite une attention particulière. L’utilisation largement répandue des gestionnaires de mots de passe dans les PME est un bon signe, mais près de la moitié des failles signalées par les personnes interrogées impliquaient des mots de passe piratés.
Pour réagir, les PME doivent mettre en œuvre l’utilisation obligatoire d’un gestionnaire de mots de passe dans toute l’entreprise. Une formation continue sur la sécurité des mots de passe est également essentielle pour lutter contre l’incompréhension et la sous-évaluation de l’importance des stratégies en matière de mots de passe.
5e conseil : Se préparer aux menaces à base d’IA
Pour se préparer aux défis de demain, les PME doivent rester vigilantes pour se protéger contre les attaques par hameçonnage, les vulnérabilités dans le cloud et le risque de pertes de données commerciales en raison d’attaques par rançongiciels ou par d’autres logiciels malveillants. Les dirigeants de PME doivent également suivre de près l’exploitation croissante de l’intelligence artificielle pour les cyberattaques, notamment pour les attaques par hameçonnage.
Pour maîtriser les évolutions technologiques en matière d’IA et de cybersécurité, les dirigeants peuvent envisager d’investir dans des outils de sécurité qui exploitent l’IA pour fournir des capacités avancées de détection et de réponse aux menaces. Former les employés sur les dernières techniques d’hameçonnage, dont celles qui exploitent l’IA, sera tout aussi essentiel.
Les plus grandes entreprises du monde, qui disposent pourtant de ressources quasiment illimitées, considèrent pourtant qu’elles sont exposées à un risque élevé au quotidien, et il n’y a aucune raison pour que les PME soient une exception.
Des changements modestes peuvent faire une grosse différence pour les PME
Les PME sont engagées sur la voie d’une cybersécurité plus robuste, et il est clair qu’une approche de type « faire confiance mais contrôler » est particulièrement adaptée aux organisations de ce type. Bien qu’il soit important que les dirigeants puissent faire confiance à leurs employés et leurs systèmes, il est tout aussi important de vérifier en permanence que les politiques de sécurité sont à jour, efficaces et respectées.
Il convient de saluer l’augmentation de la sensibilisation et des investissements révélée par l’enquête sur la cybersécurité des PME. Mais il reste beaucoup de chemin à parcourir pour réconcilier culture et politiques de cybersécurité, et pour combler le fossé entre la perception des dirigeants et le comportement des employés. En mettant l’accent sur une formation exhaustive, le respect des politiques et des technologies innovantes, les dirigeants de PME peuvent renforcer leurs défenses pour mieux affronter l’avenir.
*Ce rapport n’est disponible qu’en anglais.