Cybersécurité des PME/ETI : oubliez tout ce que vous savez !

Dans un rapport du Campus Cyber intitulé « Rapport Mission PME & Cybersécurité », on peut lire trois recommandations, très (trop ?) générales. Il serait difficile de ne pas être d’accord sur ces trois points :

• Créer une campagne de prévention cyber et un kit de sensibilisation clé en main.
• Créer une place de marché nationale de prévention au risque cyber pour les PME.
• Rendre plus lisibles les dispositifs de diagnostic. Ce rapport cite « MonAideCyber», projet encore en mode beta et soutenu par l’Anssi.

Réduire les risques cyber : des réponses pragmatiques

Comment passer de ces conseils de bon sens à un plan d’action opérationnel ? Pour réduire les risques que font peser les cybercriminels sur ses activités, et parfois la survie de son entreprise, un dirigeant de PME/ETI doit prendre trois décisions : accepter que le risque zéro n’existe pas en cybersécurité, se vacciner contre les principaux risques et basculer dans une démarche de « services managés ».

Vaccins contre les cyber-risques

Déjà abordé sur mon site, j’ai identifié trois vaccins indispensables pour se prémunir des cyber-risques. Rappel : un vaccin ne garantit pas que l’on ne va pas attraper une maladie, mais en réduit les impacts.

Vaccin 1 : infrastructures, basculer immédiatement dans des clouds publics

C’est de loin le vaccin le plus efficace mais aussi le plus polémique. Il n’y a pas une seule PME/ETI qui soit capable de protéger efficacement ses infrastructures « on premise ». Les grands acteurs industriels du cloud public, eux, savent très bien le faire. Toutes les PME, ETI, hôpitaux, mairies, départements… doivent accepter cette réalité et renoncer, immédiatement et définitivement, à gérer elles-mêmes des centres de calcul privés. Ce premier vaccin libère les PME/ETI d’un gros poids, la gestion de la sécurité de leurs infrastructures, mais ne règle pas les défis liés à la protection des usages et des données.

Vaccin 2 : zero trust

Cette démarche, comme son nom l’indique, suppose que l’on ne fait aucune confiance a priori. Identité de la personne, objet d’accès, réseaux utilisés, applications accédées… tous ces composants peuvent et doivent être sécurisés. L’offre de solutions zero trust est pléthorique. Le plus difficile pour une PME/ETI est de s’y retrouver et de faire des choix. C’est un vaccin « multidoses » indispensable mais complexe à mettre en œuvre.

Vaccin 3 : chiffrement

Les outils de chiffrement des données, tels que AES 256, garantissent une remarquable protection des données. Le pourcentage de PME/ETI qui chiffrent aujourd’hui leurs données est faible. La bonne nouvelle, c’est que le chiffrement généralisé des données est disponible nativement dans les grands clouds publics.

Les clés de chiffrement proposées par ces fournisseurs sont suffisantes pour l’immense majorité des PME/ETI. Dans des cas très précis, l’entreprise peut apporter sa propre clé de chiffrement. C’est un vaccin simple, efficace, à la portée de toutes les PME/ETI.

Services managés

Les PME/ETI n’auront jamais les ressources humaines suffisantes pour prendre en charge en interne, 24h sur 24 et sept jours sur sept, leur protection complète contre les cyber-risques. Pour se protéger efficacement, la bonne démarche est de faire appel à des acteurs sérieux qui proposent, sous forme de services managés mutualisés, des solutions de cyberprotection. Les coûts de ces services managés sont souvent perçus par les dirigeants comme très élevés. C’est pourtant le prix à payer pour être bien protégé.

Oui, une protection efficace contre les cyber-risques est possible en 2024

En combinant ces deux démarches (services managés + vaccins), les PME/ETI peuvent acquérir, dès 2024, une bonne protection contre les cyber-risques. Ce sont des réponses opérationnelles et pérennes. C’est un message simple, fort et pragmatique, que les organismes nationaux responsables de la lutte contre la cybercriminalité devraient marteler, jour et nuit.