Barracuda full logo

Pourquoi la cyber-résilience est-elle importante pour les PME et comment y parvenir ?

Thèmes:
22 mai 2023
|
Phil Muncaster

Les organisations vivent dans un monde où les menaces sont de plus en plus nombreuses, où les pirates sont de plus en plus déterminés et où les surfaces d'attaque sont de plus en plus vastes. C'est pourquoi il peut être difficile, en particulier pour les petites entreprises, d'optimiser leur utilisation des technologies numériques sans s'exposer à un risque cybernétique trop élevé. Que faire ? Bien qu'elle ne soit pas une solution miracle, la cyber-résilience est une stratégie de plus en plus populaire. Lorsqu'elle est bien conçue, elle peut aider les entreprises à poursuivre leurs activités habituelles, même en cas d'attaque, puis à s'adapter et à reprendre rapidement leurs activités sans les mettre en péril.

Mais le chemin est semé d'embûches. Comme le révèle une nouvelle étude d'Osterman Research, 86 % des entreprises disposent d'un plan de cyber-résilience, mais peu d'entre elles lui font confiance et plus de la moitié n'ont même pas de moyen d'en évaluer l'efficacité. Pour les PME en particulier, la consolidation des capacités pourrait avoir un impact important sur le succès des initiatives.

Pourquoi la résilience ?

Selon le NIST (National Institute of Standards and Technology) aux États-Unis, la cyber résilience est « la capacité à anticiper, à résister, à se remettre et à s'adapter aux conditions indésirables, aux contraintes, aux attaques ou aux compromis sur des systèmes qui utilisent ou sont activés par les cyber ressources. »

Pourquoi entend-on de plus en plus parler de résilience ? Parce que le risque zéro n'existe pas. Un pilier critique de la résilience est la prévention des menaces, c'est-à-dire bloquer autant de menaces entrantes que possible. Mais les responsables informatiques doivent également être réalistes. Si l'une d'elles passe entre les mailles - et cela arrivera - il vaut mieux avoir les bons processus et technologies en place pour détecter, répondre et se remettre sur pied.

Le tout dans un contexte de plus en plus contraignant de cybercriminels ingénieux et d'États-nations enhardis. Les offres de services disponibles gratuitement sur le dark web ont considérablement facilité le recours aux ransomwares, au phishing et à bien d'autres pratiques. C'est une très mauvaise nouvelle pour les PME, car cela augmente le nombre potentiel de pirates et rend financièrement viable la compromission d'un plus grand nombre de cibles moins lucratives.

Selon le rapport d'Osterman Research, les ransomwares (63 %), les attaques de la chaîne d'approvisionnement (51 %), les malwares (49 %) et les bogues de codage (48 %) sont les principales sources d'inquiétude pour les entreprises. Elles sont exacerbées par le fait que la surface d'attaque des entreprises continue de croître, alors que ces mêmes entreprises investissent dans le cloud et d'autres technologies numériques.

Les PME ont sans doute été en avance avec le cloud. Cela a été une aubaine pendant la pandémie et continue de profiter à ces entreprises aujourd'hui, alors que le travail hybride rentre peu à peu dans les habitudes. Mais elles sont également exposées à un risque accru de vol de données et de perturbation opérationnelle. Les travailleurs à distance constituent une réelle menace. Ils seraient plus enclins à adopter des comportements à risque que leurs collègues au bureau, par exemple cliquer sur des liens de phishing ou utiliser des appareils personnels non corrigés pour le travail.

Il est également vrai que, si les violations dans les grandes entreprises font les gros titres, les plus petites sont souvent les plus touchées. Selon Barracuda, l'employé moyen d'une petite entreprise de moins de 100 salariés pourrait subir 350 % d'attaques de social engineering de plus qu'un employé d'une grande entreprise.

Que manque-t-il aux programmes actuels ?

D'où les efforts en faveur d'une plus grande cyber-résilience. Mais selon Osterman Research, les choses ne se passent pas bien. Il met en évidence plusieurs défis dans les programmes actuels, notamment :

  • Formation inefficace des employés en matière de sécurité : près de la moitié des personnes interrogées déclarent que leurs employés ne sauraient pas quoi faire s'ils recevaient un e-mail de phishing, malgré des années de formation.
  • Un manque de confiance général dans l'état de préparation du personnel
  • Faible implication du conseil d'administration : seuls 56 % affirment que la sécurité est une priorité pour la direction.
  • Un besoin de meilleurs outils : le Zero Trust, la protection des données et d'autres fonctionnalités font partie des deux principales exigences pour les participants

Un effort de l'ensemble de l'entreprise

IDC définit cinq étapes critiques pour un programme de cyber-résilience :

  • Identifier les ressources critiques, mapper les processus et évaluer leur état de préparation
  • Protéger vos actifs grâce à des contrôles de sécurité efficaces
  • Détectez les menaces grâce à des analyses
  • Réagir rapidement aux violations
  • Récupérer rapidement après une attaque

Pour y parvenir, il est clair qu'il faut déployer des efforts à plusieurs niveaux et à l'échelle de toute l'entreprise. Cela signifie une meilleure implication du conseil d'administration, une meilleure formation pour les employés, des outils de détection et de réponse, ainsi que des bases de la cyberhygiène telles que l'application régulière de correctifs, les sauvegardes, le chiffrement et les firewalls, le tout au sein d'une stratégie de gestion des risques cohérente.

Les PME qui manquent de ressources et qui cherchent à mettre en place des contrôles de sécurité solides devraient se tourner vers des partenaires de confiance pour les aider dans la phase de protection de leur programme de résilience. C'est là que les plateformes de Secure Access Service Edge (SASE) ont un rôle à jouer en consolidant certaines fonctionnalités essentielles, notamment :

La cyber-résilience est la direction à prendre pour de nombreuses entreprises. Mais cela ne doit pas être hors de portée pour la communauté des PME. Avec la bonne approche et des outils consolidés basés sur des plateformes, les petites entreprises peuvent stimuler leur croissance digitale sans faire de compromis sur la sécurité.

Phil Muncaster

Phil Muncaster compte plus de 12 ans d'expérience en tant que rédacteur et éditeur dans le domaine de la technologie. Pendant sa carrière, il a contribué à quelques grands titres du secteur, notamment Computing, The Register, V3 et MIT Technology Review. Après une immersion d'un peu plus de deux ans au cœur de la scène technologique asiatique à Hong Kong, il est de retour à Londres, où il s'intéresse désormais de près à la sécurité de l'information.

Suivez Phil sur Twitter et connectez-vous avec lui sur LinkedIn.

Billets associés :
Focus sur les partenaires : des solutions innovantes pour contrer les cybermenaces modernes
Focus sur les partenaires : des solutions innovantes pour contrer les cybermenaces modernes
 Focus sur les partenaires : repenser la stratégie de cybersécurité face à des besoins en mutation
Focus sur les partenaires : repenser la stratégie de cybersécurité face à des besoins en mutation
 Comblez les failles de sécurité cachées grâce à Barracuda Managed Vulnerability Security
Comblez les failles de sécurité cachées grâce à Barracuda Managed Vulnerability Security
 Prochains webinaires à ne pas manquer
Prochains webinaires à ne pas manquer
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.