Secu
Des PME françaises conscientes de l’importance de la Cybersécurité
Par Laurent Delattre, publié le 10 septembre 2024
L’éditeur français HarfangLab a réalisé une étude auprès des PME européennes pour mesurer leur maturité et leur préparation face aux risques de cybersécurité. Et les PME françaises figurent dans les bons élèves.
Les PME sont souvent considérées par les RSSI et DSI des grandes entreprises dont elles sont les partenaires ou fournisseurs comme une vulnérabilité, un risque cyber à part entière et à ne pas négliger. D’une part, elles sont perçues comme plus vulnérables aux cyberattaques en raison de leurs ressources limitées pour investir dans des solutions de sécurité avancées. D’autre part, le manque de sensibilisation de leurs employés peut faciliter les usurpations d’identité et l’infiltration de ransomwares, ce qui peut servir de point d’entrée ou de levier pour attaquer ou perturber certaines activités des grandes entreprises avec lesquelles elles travaillent.
Pourtant, cette image négative pourrait évoluer dans les années à venir. La startup cyber HarfangLab dévoile aujourd’hui les résultats d’une intéressante enquête auprès de 750 responsables informatiques en France, en Allemagne, en Belgique et aux Pays-Bas, pour comprendre la résilience des PME européennes face aux cybermenaces.
Et, surprise, les PME françaises semblent bien plus conscientes des risques cyber que leurs homologues européennes. Selon cette étude, 62% des PME françaises estiment le risque cyber comme étant extrêmement sévère, ou très sévère, contre seulement 38% en Belgique, 37% en Allemagne et 24% aux Pays-Bas.
En avoir conscience est une chose. Prendre les bonnes mesures en est une autre. Or 65% des PME interrogées se déclarent pleinement ou très bien préparées en matière de défense contre les cyberattaques ! Une assurance étonnante. Est-elle pour autant inquiétante, avec une confiance exagérée ?
Les PME ont conscience d’être en première ligne
Ce que l’étude révèle en premier lieu, c’est qu’une prise de conscience est apparue. Pour les responsables des PME interrogées, le risque cyber est aujourd’hui exacerbé par une économie très interconnectée (pour 48% des responsables), la multiplication des points d’accès (pour 49%), la pénurie d’experts (pour 42%), les avancées de l’IA générative (pour 44%) et les tensions géopolitiques (pour 27%).
Ça, c’est un peu pour la version officielle. Il semble néanmoins, plus officieusement, qu’un autre élément contribue désormais à cette prise de conscience : la pression des réglementations européennes. Une pression qui agit un peu comme un étau. D’une part le RGPD et les autres réglementations plus sectorielles s’appliquent aux PME et encouragent à plus de rigueur. D’autre part, la pression réglementaire oblige les grandes entreprises à faire pression sur leurs PME partenaires pour que ces dernières se mettent à niveau en matière de cybersécurité.
Et étrangement, les dirigeants de ces PME n’y sont pas réfractaires : selon l’étude ils sont même 77% à reconnaître que même si ces régulations sont effectivement synonymes d’efforts coûteux, l’investissement est effectivement nécessaire pour garantir sécurité et compétitivité. Ils seraient même 68% à estimer que ces régulations représentent un avantage concurrentiel, tandis que 70% considèrent que le vieux continent est devenu un modèle à suivre en matière de réglementation. Là encore, ces résultats donnent un peu l’impression de réponses données pour faire bonne figure face à la caméra. Lors des Universités d’été de la Cybersécurité, qui avaient lieu la semaine dernière, les RSSI montraient un visage un peu moins conciliant avec les pressions réglementaires.
Les responsables des PME redoutent en priorité la fuite de données (57%), la destruction des systèmes d’information (53%), la nécessité d’avoir à payer une rançon (41%).
Une posture cyber qui se renforce
Face à ces risques, les PME françaises se montrent étrangement confiantes quant à leur capacité de résistance. Selon l’étude, 65% des entreprises se déclarent pleinement ou très bien préparées en matière de défense contre les cyberattaques. Une assurance née d’un niveau de compétence qu’elles estiment plutôt bon à 75% (contre 65% en Belgique et 66% aux Pays-Bas) mais aussi d’une volonté d’investir dans la cybersécurité. Ainsi, 58% des PME françaises prévoient d’augmenter leur budget cybersécurité cette année avec un focus que la formation régulière des employés (1 PME sur 2), la réalisation d’audit (48%), le renforcement de la sécurité des systèmes et du cloud (53%).
Parmi les menaces les plus redoutées, les PME françaises placent en première ligne la vulnérabilité technique (58%), suivie de très près par l’erreur humaine (avec un clic malencontreux d’un collaborateur) pour 57% des responsables interrogés, devant la cyberattaque à la supply chain d’un de leur fournisseur (54%) et une attaque sur une infrastructure critique à leur activité (49%).
Il est tout de même un domaine où les PME françaises sont derrière leurs homologues européennes : la mise en place d’un plan formel de gestion des crises cyber : 76% des PME françaises en auraient un, contre 80% aux Pays-Bas, 85% en Allemagne et 86% en Belgique. On notera l’antagonisme où ce sont justement les pays où les PME ont le plus mis en place un plan formel qui sont aussi ceux qui affichent le niveau de confiance le plus bas !
Même s’il faudra attendre d’autres études pour conforter les résultats de celle d’HarfangLab, force est de reconnaître que celle-ci dépeint un paysage un peu différent de celui ancré dans l’inconscient collectif et plus positif que celui présenté ces dernières années par l’ANSSI. Les efforts de sensibilisation à la cyber-résilience semblent porter leur fruit. Reste à espérer qu’un trop plein de confiance n’en soit pas la raison réelle et le talon d’Achille.
À LIRE AUSSI :
À LIRE AUSSI :