Les ETI face aux risques cyber : jouer la cyber-proximité

Un récent rapport du Sénat sur le sujet (« La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cyber virus ?), note que « les entreprises les plus petites pensent être à l’abri. C’est une illusion, parfois mortelle : une entreprise peut fermer après une cyberattaque. Les coûts indirects se révèlent parfois avec un fort délai de latence ».

Pour les auteurs du document, les sénateurs MM. Sébastien Meurant et Rémi Cardon, quand les grandes structures renforcent leur cyberdéfense, les cybercriminels se tournent alors vers leurs fournisseurs, sous-traitants ou clients, bien souvent des petites entreprises plus vulnérables.

Hygiène numérique insuffisante

La vulnérabilité est multiforme. Ainsi, « les salariés restent le maillon faible de la cybersécurité, ‘voire un ‘cheval de Troie’, car ils perçoivent la protection cyber comme une contrainte supplémentaire, » regrettent-ils, avant de constater qu’une organisation en silo privilégiant une collaboration et une communication minimalistes réduit l’efficacité d’une culture d’entreprise cyber.

« La lutte contre les cyber virus suppose une hygiène numérique constante et des ‘gestes barrières’ permanents de la part de chacun, ». Toutefois, « l’augmentation du budget alloué aux outils n’est pas une réponse suffisante face à la multiplication des menaces de plus en plus sophistiquées ».

A cela s’ajoute une pénurie mondiale d’experts en cybersécurité, renforçant ainsi le déficit de compétences des ETI dans ce domaine.

Depuis 2020, la société de conseils et de services IT CONIX accompagne ces dernières dans une démarche cybersécuritaire adaptée à leur modèle économique.

« Nous les aidons à améliorer leur capacité de cyberdéfense, en leur proposant un plan d’action cyber sur mesure, » précise Mouhédine Habache, Head of the Conix Security Engineering Center Team.

Son équipe de 15 ingénieurs cyber est spécialisée dans l’expertise technique dédiée aux architectures et solutions. Elle intervient à la fois en mode préventif, pour sécuriser l’écosystème informatique des sociétés (matériels, infrastructures, réseaux, etc.) ; et en mode remédiation, pour reconstruire leur système d’information après un incident.

« La méthode repose sur une déclinaison du Plan France Relance avec une offre sur mesure qui leur permettra de connaître leur état de sécurité à un instant T, » détaille-t-il. « Notre objectif est de sensibiliser les petites structures à l’intérêt de réaliser un état des lieux de la cybersécurité avant que le mal n’émerge ».

Perception floue

Ces deux dernières années, son équipe a mené une vingtaine de projets de ce type dans toute la France. Et le constat est sans appel : « Quasiment 100% des missions réalisées montrent que les petites structures n’ont pas de démarche sécurité du tout ; et s’il en existe une, elles sont incomplètes, faute d’expertise, » note M. Habache.

De même, leur perception de la menace cyber reste parfois floue : « Les ETI ne mesurent pas toujours à sa juste valeur l’intérêt de sécuriser leurs actifs et leurs données, et ne budgétisent pas le poste cyber, » poursuit-il.

« Elles ne savent pas exactement cartographier leurs risques cyber pour pouvoir les assurer et ne prévoient pas de sécuriser leurs outils métier ».

Autre constat : la couverture assurantielle cyber est parfois inadaptée aux besoins et à l’écosystème business du client. Ou alors, ce dernier ne respecte pas les clauses de conformité du contrat en n’adoptant pas les pratiques résilientes de base édictées par le document.

Mais le plus gros défi, selon lui, reste la politique de gestion documentaire : « Peu d’ETI maîtrisent réellement les modes opératoires ou bien les processus documentaires de base, » note-t-il. « Formaliser le système de gestion documentaire selon des normes de qualité ISO 9001 et ISO 27001 est primordial pour définir la sécurité à mettre en place dans une structure et pour la contrôler dans le temps ».

Cyber-proximité

Une fois l’état des lieux et le plan d’actions réalisés, M. Habache recommande aux ETI d’instaurer un suivi et une maintenance cyber-résilients. Et pour les accompagner dans cette démarche, il préconise une expertise de proximité.

De proximité géographique tout d’abord : « L’ETI bénéficie ainsi d’une solution de prévention et de réaction rapide et efficace, (…) Il existe des petites structures cyber locales qui peuvent les aider dans leur démarche sécurité, depuis la mise en place du plan d’action et de remédiation, jusqu’au suivi et à la maintenance. »

Proximité humaine ensuite : « C’est aussi une facilité d’accès à l’information, à des experts de la région, à des acteurs évoluant dans le même écosystème économique local, qui se connaissent et peuvent ainsi fournir des avis, du conseil et des services mieux adaptés aux besoins des ETI, » estime M. Habache. « Il ne faut pas oublier que la cybersécurité reste avant tout de l’humain, avant d’être technologique. Utilisez cette proximité pour être plus résilients ! »

Dans un contexte de cyberguerre marqué par le conflit russo-ukrainien, les ETI sont-elles plus que jamais exposées aux attaques cyber ? Et que préconise l’expert face à ces nouvelles menaces ?

« Quel que soit le contexte géopolitique, l’actualité économique ou autre, ces risques ne sont ni nouveaux ni actuels : ils existent depuis des années, mais ils évoluent. Aussi, les organisations, petites ou grandes, doivent constamment garder un niveau de sécurité élevé et évolutif, tout au long du cycle de vie de leur système d’information, » répond-il.

Selon lui, la guerre pourrait constituer un levier de sensibilisation pour celles qui n’ont actuellement aucune démarche cyber-résiliente en place, faute de ressources suffisantes ou par pure ignorance.

« Elles doivent prendre conscience des risques qui les guettent, et maintenir le niveau de cybersécurité le plus élevé possible, car tout peut arriver à tout moment et à toute structure, » conclut-il.