La sécurité des PME/ETI, vision d’un RSSI
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
![Image Chez les [opérateurs télécom], la cybersécurité est omniprésente](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-telecom-communication-center-2024-885x690.jpg)
“Nous n’intéressons pas les pirates ! Nous avons toujours su réagir !”
Ces remarques, nous les entendons souvent… jusqu’à ce que LA cyberattaque nous rappelle la dure réalité de la cyber-fragilité des organisations.
On réalise que l’attaquant se balade à tous les étages depuis plus de 10 mois.
Qu’un « gros paquet de data » a fuité mais on ne sait pas dire quoi.
Et c’est là qu’on découvre le coût pour sortir l’attaquant et rehausser les remparts.
Ça c’est si l’ETI a de la chance… et si ce n’est pas un rançongiciel !
Beaucoup pensent avoir fait un effort de sécurisation important. Et pourtant, leurs filiales se font lourdement attaquer quelques mois plus tard. Ça craque de partout !
La menace évolue plus vite que certaines organisations. Le risque Cyber est devenu un risque majeur pour les Entreprises.
Avoir une chaîne de production de pâte à tartiner obsolète peut être pertinent. En cybersécurité, ça ne pardonne pas.
En 2020 : +255% de signalements d’attaques (Source Anssi)
Le premier frein constaté par Cyber4U lors de ses missions de sécurisation de PME/ETI est celui de la prise de conscience de la nécessité d’agir.
« On n’aide pas quelqu’un qui n’en a pas envie ». Il faut parfois attendre que la personne se noie pour qu’elle accepte d’être secourue.
Il est en effet difficile pour un dirigeant d’accéder à toutes les demandes de dépense Cyber du DSI ou du RSSI.
Sécuriser a un coût. Cela exige un gros effort alors que le risque reste flou et le retour sur investissement incertain.
Qui, en 2021, connaît le taux d’efficacité des différentes mesures de sécurité et de leurs combinaisons possibles ? : Sensibilisation, Antivirus, SIEM/SOC, EDR, durcissement des composants sensibles comme l’Active Directory et le poste de travail, cloisonnement réseau…
On comprend les atermoiements à libérer les budgets mais les PME et ETI doivent admettre que si elles ne font rien, ou trop peu, elles vont rester vulnérables.
La PME/ETI qui ne veut rien faire y arrive très bien
Il est urgent de prendre conscience que la sécurité des ETI ne s’aborde pas comme celle d’un Grand Groupe.
Un groupe bancaire a des centaines d’experts en Cybersécurité. Le RSSI d’une PME / ETI est le plus souvent seul face au reste des fonctions de l’Entreprise.
L’ANSSI prône 5 à 10% du budget informatique dédié à la cybersécurité. Nous constatons que le RSSI représente parfois 1% des ressources humaines sur le bateau de la Direction Informatique. Dans cette configuration, il est perçu comme « rameur » alors qu’il devrait être « barreur ».
Cela implique des remises en question structurelles :
- Revoir le partage des responsabilités. Le RSSI ne peut être le seul responsable des jardins de Versailles et en porter toute la responsabilité.
- Travailler sur la grille des métiers. Aucune personne n’a toutes les compétences pour sensibiliser, communiquer, gérer, piloter, définir, construire, mettre en œuvre, exploiter et superviser la sécurité d’une ETI.
- Faire de la Cyber un projet collectif et non un terrain de guerre de territoire. Il y a un intérêt supérieur à dépasser les clivages habituels.
Les difficultés sont culturelles, managériales, financières, technologiques, …
Il est indispensable de travailler sur des réponses concrètes à apporter rapidement.
Que faire lorsqu’un salarié informe qu’il a cliqué sur le lien d’un mail suspect ? Faut-il remasteriser le poste systématiquement ? Est-ce trop tard ? Que faire concrètement pour éviter un rançongiciel ?
Vers quelle instance d’arbitrage doit se tourner le RSSI dans des structures où les organes de gouvernance ne sont pas toujours simples à cerner ?
Comment une PME / ETI peut-elle obtenir les études comparatives de solutions qu’elle n’a pas les moyens de mener ? Quel EDR / AV / SIEM / SOC / WAF… choisir ?
Les PME / ETI attendent une aide face aux 17.000 vulnérabilités, toutes technologies confondues, découvertes chaque année. Nous avons fini par admettre qu’il est normal que les systèmes soient aussi vulnérables ou difficiles à sécuriser.
Comment une PME / ETI peut-elle instruire 5.000 vulnérabilités de systèmes fortement imbriqués (cas réel rencontré) ?
Ajoutez à cela qu’en tant que PME et ETI, le plus souvent, elles sont sous-traitantes et doivent répondre aux exigences cyber des Grands Comptes.
Pour rester positif
La clé du succès réside dans la mise en œuvre d’une démarche collaborative, sérieuse, profonde, pragmatique, animée par un RSSI compétent, accompagné et présidé par une Direction attentive et impliquée.
Pour ceux qui aiment les fins rassurantes aux histoires, il existe une dizaine de fondamentaux (cf. guides idoines spécial PME/ETI), bien connus de tous les professionnels, qu’il convient de définir, implémenter, contrôler et piloter.
Lorsque l’on prend conscience des difficultés pour les PME / ETI, on s’aperçoit qu’elles ont un défi majeur à relever. Il s’agit d’une mission quasiment impossible pour les RSSI !
J’en suis arrivé à la conclusion qu’il est plus difficile pour une PME / ETI de se sécuriser que pour le Pentagone à la Française. Pour une raison simple, eux, on leur a octroyé les moyens.