Avec 61 % d’entreprises françaises ayant déjà subi une cyberattaque, la protection des données et l’amélioration de la résilience face aux tentatives constituent un enjeu majeur. Les PME/PMI sont exposées aux attaques à travers leurs systèmes IT (technologies utilisées pour traiter l’information, principalement dans les bureaux) mais aussi OT (technologies permettant aux industriels et aux logisticiens d’opérer des robots, des capteurs… dans les ateliers ou les entrepôts). De plus en plus, ces deux univers ont besoin d’être connectés entre eux et à Internet, que ce soit dans le cadre de projets IoT (internet des objets) ou pour effectuer de la maintenance, éventuellement à distance, sur les machines. Ces connexions, en multipliant les points d’accès, accroissent les risques cyber.
Développer une culture de la cybersécurité
Mieux vaut donc commencer par mettre en place une culture de la cybersécurité qui passe par la réalisation d’un inventaire des actifs numériques, incluant l’ensemble des équipements informatiques, logiciels, licences, noms de domaines, adresses IP… En effet il est plus facile de protéger ce que l’on connaît bien et cette vision globale permet de hiérarchiser les actifs les plus critiques à protéger. En cas de projet de big data, d’IA ou encore d’IoT, il est impératif d’intégrer la contrainte de cybersécurité dès la conception et la mise en œuvre.
Une fois les accès sécurisés, il faut procéder à des mises à jour régulières et, point essentiel, sensibiliser les collaborateurs de l’entreprise aux bonnes pratiques : 90 % des cyberattaques sont des demandes de rançon et parmi celles-ci, 60 % exploitent des failles humaines. Un collaborateur sensibilisé est donc le premier pare-feu contre les actes malveillants.
Ces bonnes pratiques diminuent le niveau de risque en compliquant la tâche des personnes malveillantes. Mais l’entreprise doit être prête à gérer un incident de sécurité. Pour cela, il faut formaliser les bons réflexes dans un document, identifier un partenaire spécialisé pouvant intervenir en urgence et préparer un plan de continuité ou de reprise d’activité. Aujourd’hui les entreprises sont poussées à monter en compétence sur la cybersécurité par la publicité faite autour des cyberattaques, la pression de l’écosystème, notamment dans l’industrie, qui, pour contractualiser, exige une certaine maturité en la matière et l’évolution réglementaire. C’est pourquoi les chefs d’entreprise ne doivent pas faire de la cybersécurité pour se protéger des attaques, mais pour avoir la confiance de leurs clients et être plus compétitifs que leurs concurrents.
