Cybersécurité des ETI : de la prise de conscience à la structuration stratégique

Les entreprises de taille intermédiaire ont franchi un cap en matière de cybersécurité. Sous l’effet conjugué de la pression réglementaire, des exigences de leurs clients et de leur propre transformation numérique, elles structurent désormais des stratégies de sécurité alignées sur leurs priorités opérationnelles.

Les ETI, qui se caractérisent par un effectif compris entre 250 et 5 000 salariés et un chiffre d’affaires n’excédant pas 1,5 milliard d’euros, ont franchi un cap au cours des dernières années en matière de cybersécurité. Leur stratégie dans ce domaine ne relève plus d’un projet à initier, mais d’un programme déjà engagé dans la majorité des structures. C’est en tout cas l’avis d’Alain Bouillé, Délégué général du CESIN : « Les recrutements de RSSI se multiplient et la fonction cybersécurité se structure. Cette dynamique est alimentée à la fois par la pression réglementaire à venir, notamment NIS2, et par l’exposition croissante aux cyberattaques. L’enjeu n’est plus de convaincre de la nécessité d’agir, mais d’élever le niveau de maturité », déclare-t-il.

Un niveau de maturité dont les ETI n’ont pas à rougir. Selon le panorama de la maturité en cybersécurité des entreprises françaises publié par le CESIN et CyberVadis, les grandes entreprises obtiennent en moyenne un score de maturité de 865, suivies par les ETI (762), les PME (694) et les TPE (647).

Score de maturité cyber © Panorama de la maturité en cybersécurité
des entreprises françaises / CESIN-CyberVadis

ETI : cap sur des choix et décisions pragmatiques

Malgré ce niveau de maturité plus qu’honorable, les ETI construisent leur stratégie de cybersécurité dans un entre-deux organisationnel et budgétaire. Disposant de moyens supérieurs à ceux des PME, mais bien éloignés des capacités des grands groupes, elles sont confrontées à des exigences croissantes de la part de leurs clients et partenaires, sans toujours pouvoir aisément répercuter les coûts associés. La logique dominante est donc celle du choix éclairé et du ciblage des risques. « Pour une ETI, l’enjeu consiste à adopter une approche pragmatique fondée sur l’évaluation des risques réellement susceptibles d’affecter ses parties prenantes. Cette analyse doit permettre de calibrer les investissements de sécurité de manière cohérente avec les contraintes économiques et l’équilibre commercial, tout en maintenant un niveau de protection jugé acceptable au regard de l’activité et des engagements vis-à-vis des clients », commente Laurent Petit, RSSI groupe d’Everial.

Côté budgets, les moyens sont globalement alignés avec le niveau de maturité attendu, les investissements suivant généralement la prise de conscience. « Dans de nombreuses ETI, la part du budget cyber se situe entre 5 et 10 % du budget IT, un ordre de grandeur comparable à celui observé dans des organisations plus grandes, même si les volumes absolus restent plus faibles. Les difficultés apparaissent surtout lorsque l’entreprise doit rattraper un retard accumulé. Mais lorsque la sécurité est intégrée dès les projets de transformation numérique, l’effort financier reste maîtrisable », analyse Alain Bouillé.

Et dans le cas particulier d’une PME qui grandit, accédant progressivement au statut d’ETI, la métamorphose qu’elle connaît n’est pas toujours simple à appréhender. « Le passage de la PME à l’ETI marque une inflexion dans la gouvernance cyber. À mesure que l’entreprise croît, les attentes des parties prenantes augmentent. La cybersécurité doit alors s’intégrer à la stratégie globale de l’entreprise. Cela se traduit par la formalisation d’une stratégie de cybersécurité alignée sur les objectifs business, la mise en place d’analyses de risques plus globales, l’élaboration d’un schéma directeur de sécurité et la gestion explicite du risque résiduel, notamment via l’assurance », note Laurent Petit. Cette structuration reste cependant inégale selon les ETI, beaucoup d’entre elles ne disposant pas encore d’équipes dédiées.

Une taille intermédiaire véritable levier d’agilité

Mais pour Alain Bouillé, la position intermédiaire propre aux ETI s’apparente avant tout à un atout. « Les ETI ne disposent pas des moyens des grands groupes, certes, mais elles bénéficient d’une agilité organisationnelle supérieure. Les déploiements de mesures techniques comme l’EDR ou l’authentification multifacteur peuvent être menés plus rapidement, avec moins de lourdeurs organisationnelles ou sociales », avance-t-il. La taille « intermédiaire » des ETI facilite ainsi des cycles de décision plus courts et une mise en œuvre opérationnelle plus rapide, à condition que la direction ait intégré les enjeux de cybersécurité.

Et dans de nombreuses ETI, cette cybersécurité est principalement pensée comme un levier business plutôt que comme un centre de coûts. « Confrontées à la nécessité d’aligner les mesures de sécurité avec les enjeux commerciaux et opérationnels, les ETI ont comme objectif de faciliter les ventes, de rassurer les clients et d’accompagner la croissance. Dans cette logique, la fonction cybersécurité se positionne au service des métiers, sur un modèle proche de l’évolution des DSI : compréhension des besoins opérationnels, contextualisation des mesures et pédagogie interne », observe Laurent Petit. Le rôle du RSSI n’est alors plus uniquement d’interdire, d’empêcher, mais d’arbitrer et d’accompagner.

Le rôle moteur de la réglementation

Enfin, les experts interrogés convergent tous deux vers une même analyse : le rôle du réglementaire et des obligations sectorielles agit comme un accélérateur de maturité. « Les contraintes issues de la réglementation, des normes ou des exigences clients poussent les ETI à structurer leurs dispositifs. Les sanctions financières récentes et la montée en puissance de cadres comme NIS2 renforcent cette dynamique. L’anticipation d’un élargissement progressif de ces obligations vers des entreprises plus petites incite les ETI à se préparer dès maintenant », estime Laurent Petit.

Et Alain Bouillé de compléter : « La pression de la chaîne de valeur agit comme un levier structurant. Les ETI, souvent fournisseurs de grands groupes, sont de plus en plus soumises à des exigences de sécurité contractuelles. La montée des attaques via la supply chain renforce ces attentes. Les donneurs d’ordre exigent des garanties, ce qui pousse mécaniquement les ETI à élever leur niveau de protection. Cette pression s’ajoute à celle des régulateurs et des cyberattaquants eux-mêmes ».

En synthèse, la stratégie de cybersécurité des ETI se caractérise par une approche pragmatique, contrainte par les ressources, mais structurée par des exigences croissantes. Elle repose sur des arbitrages permanents entre conformité, gestion des risques et soutien à la stratégie de croissance. Une chose est certaine : la prise de conscience est installée, les moyens progressent et l’agilité organisationnelle constitue un réel avantage. La pression réglementaire et celle de la chaîne de valeur devraient toutefois continuer à structurer la trajectoire de maturité des ETI dans les prochaines années.