Budget cyber : les dilemmes des ETI

Les grandes sociétés et les infrastructures critiques ne sont plus les seules cibles des cybercriminels. Les petites et moyennes entreprises et celles de taille intermédiaires (ETI) sont elles aussi visées. Quelles démarches de gestion du risque cyber adoptent-elles ? Et quel budget y consacrent-elles pour se protéger ?

Parmi les entités touchées en premier lieu par les ransomwares, les TPE et PME et ETI représentaient, en 2021, 52% des victimes selon l’Anssi. Le chiffre était de 34% en 2020. Face à cet accroissement, Gareth Wharton, Cyber CEO de l’assureur Hiscox, tire la sonnette d’alarme : « Les entreprises dont le chiffre d’affaires est compris entre 90.000 et 450.000 euros peuvent désormais s’attendre à autant de cyberattaques que celles gagnant entre 900.000 et 8,1 millions d’euros par an. »

Pour Guillaume Carballo, cybersecurity leader chez EY Luxembourg, les petites sociétés pensent, à tort, se croire à l’abri des attaques : « Les hackers ne réfléchissent pas dans ce sens. En les ciblant, ils remontent jusqu’à leurs fournisseurs et clients, pour ensuite mieux opérer une attaque par supply chain sur les grands groupes ou sur les infrastructures critiques. »

Cyber-handicap

Selon Guillaume Carballo, une grande majorité de ces petites entreprises ne se dotent pas de protection adéquate : « Beaucoup n’ont pas de responsable sécurité, et c’est un véritable cyber-handicap car bien souvent, c’est le patron ou le directeur (financier par exemple) ayant le plus de connaissances en informatique qui fait office de directeur IT. »

Selon Gareth Wharton, d’autres sociétés tendent à réduire globalement leurs dépenses informatiques : « La pandémie et le télétravail ont poussé de nombreuses petites entreprises à adopter des solutions de cloud plutôt que de développer leurs propres services à distance. Ce qui a eu pour conséquence d’inciter les cybercriminels à exploiter les vulnérabilités du cloud et à cibler également les prestataires de services de cloud. »

Pour le Club des experts de la sécurité de l’information numérique (CESIN), les PME et ETI semblent toutefois plus réactives et se protègent toujours plus et mieux face aux attaques cyber. Dans son dernier « Baromètre de la cybersécurité des entreprises », le CESIN indique que 72% des entités interrogées (8% de PME, 38% d’ETI parmi les répondants) se sentent mieux préparées pour gérer une attaque de grande ampleur, en termes de prévention et de détection. Mais 54% seulement se disent prêtes à répondre à l’attaque, et 51% à se reconstruire après.

Côté prévention toutefois, seulement 8% des ETI déclarent avoir souscrit à une assurance, pour une couverture moyenne de 8 millions d’euros, indique un rapport du Sénat. « Les PME ignorent presque totalement les assurances du risque cyber. En 2020, seulement 362 des 140.000 PME réalisant entre 10 et 15 millions d’euros de chiffre d’affaires ont signé un tel contrat », notent ses auteurs. Le tout pour « un taux de couverture marginal de 0,0026% et un coût d’indemnisation de 40.000 euros en moyenne », lit-on dans ce même rapport.

Les raisons de ce désintérêt ? La forte hausse des franchises, une baisse de la couverture et des garanties, des conditions contractuelles pas toujours très claires et des démarches de souscriptions longues et complexes. Des dispositions toujours plus restrictives qui inciteraient les ETI à délaisser cette option, selon l’étude 2021 de l’Association de management des risques et des assurances de l’entreprise (Amrae) sur la couverture assurantielle du risque cyber en France.

Six postes budgétaires

Finalement, quel budget les entreprises allouent-elles à leur cybersécurité ? L’Anssi recommande d’y consacrer au moins 5 % à 10% du budget informatique. L’étude de Stormshield pour L’Usine Nouvelle constate que ce financement reste le « parent pauvre du budget des entreprises ». En effet, plus de 30 % des sociétés interrogées n’atteignent toujours pas ce niveau d’investissement.

Les investissements, eux, sont répartis entre six thèmes : audit des failles et des risques cyber; sensibilisation du personnel et instauration de bonnes pratiques; gouvernance cyber dédiée; renforcement des services de protection des systèmes d’informations; nouveaux outils et de nouvelles solutions de protection et cyberassurance.

Investir oui, mais par où commencer ? L’Anssi propose un guide de mesures accessibles pour une protection globale, destiné notamment aux TPE, PME et ETI. Guillaume Carballo préconise, lui, d’appliquer les cinq piliers de cyber-hygiène proposées par le NIST Cybersecurity Framework : « ‘Identify’ – ‘Protect’ – ‘Detect’ – ‘Response’ – ‘Recover’. » (Identifier, protéger, détecter, réponse, récupérer)

« En d’autres termes, il s’agit de connaître ses actifs et ses risques par rapport à ses activités ; de s’équiper de solutions et de mesure de protection ; de partir du postulat qu’un risque peut arriver puis de s’interroger sur sa capacité à le détecter et sur sa capacité à réagir ; de disposer de bons back-up de restauration pour relancer l’activité après incident », détaille Guillaume Carballo.

Il conseille donc aux ETI de se faire accompagner par un expert externe. Ce dernier effectuera un premier état des lieux des actifs à protéger et des mesures de protection cyber à instaurer, avant de définir puis de mettre en place un plan d’action et des outils. « Mais attention, recourir à un seul constructeur pour tous les composants cyber revient aussi à mettre tous les œufs dans le même panier. Le risque doit donc rester mesuré au regard des avantages apportés », alerte-t-il.