
Pourquoi la cyber-résilience est-elle importante pour les PME et comment y parvenir ?
Les organisations vivent dans un monde où les menaces sont de plus en plus nombreuses, où les pirates sont de plus en plus déterminés et où les surfaces d'attaque sont de plus en plus vastes. C'est pourquoi il peut être difficile, en particulier pour les petites entreprises, d'optimiser leur utilisation des technologies numériques sans s'exposer à un risque cybernétique trop élevé. Que faire ? Bien qu'elle ne soit pas une solution miracle, la cyber-résilience est une stratégie de plus en plus populaire. Lorsqu'elle est bien conçue, elle peut aider les entreprises à poursuivre leurs activités habituelles, même en cas d'attaque, puis à s'adapter et à reprendre rapidement leurs activités sans les mettre en péril.
Mais le chemin est semé d'embûches. Comme le révèle une nouvelle étude d'Osterman Research, 86 % des entreprises disposent d'un plan de cyber-résilience, mais peu d'entre elles lui font confiance et plus de la moitié n'ont même pas de moyen d'en évaluer l'efficacité. Pour les PME en particulier, la consolidation des capacités pourrait avoir un impact important sur le succès des initiatives.
Pourquoi la résilience ?
Selon le NIST (National Institute of Standards and Technology) aux États-Unis, la cyber résilience est « la capacité à anticiper, à résister, à se remettre et à s'adapter aux conditions indésirables, aux contraintes, aux attaques ou aux compromis sur des systèmes qui utilisent ou sont activés par les cyber ressources. »
Pourquoi entend-on de plus en plus parler de résilience ? Parce que le risque zéro n'existe pas. Un pilier critique de la résilience est la prévention des menaces, c'est-à-dire bloquer autant de menaces entrantes que possible. Mais les responsables informatiques doivent également être réalistes. Si l'une d'elles passe entre les mailles - et cela arrivera - il vaut mieux avoir les bons processus et technologies en place pour détecter, répondre et se remettre sur pied.
Le tout dans un contexte de plus en plus contraignant de cybercriminels ingénieux et d'États-nations enhardis. Les offres de services disponibles gratuitement sur le dark web ont considérablement facilité le recours aux ransomwares, au phishing et à bien d'autres pratiques. C'est une très mauvaise nouvelle pour les PME, car cela augmente le nombre potentiel de pirates et rend financièrement viable la compromission d'un plus grand nombre de cibles moins lucratives.
Selon le rapport d'Osterman Research, les ransomwares (63 %), les attaques de la chaîne d'approvisionnement (51 %), les malwares (49 %) et les bogues de codage (48 %) sont les principales sources d'inquiétude pour les entreprises. Elles sont exacerbées par le fait que la surface d'attaque des entreprises continue de croître, alors que ces mêmes entreprises investissent dans le cloud et d'autres technologies numériques.
Les PME ont sans doute été en avance avec le cloud. Cela a été une aubaine pendant la pandémie et continue de profiter à ces entreprises aujourd'hui, alors que le travail hybride rentre peu à peu dans les habitudes. Mais elles sont également exposées à un risque accru de vol de données et de perturbation opérationnelle. Les travailleurs à distance constituent une réelle menace. Ils seraient plus enclins à adopter des comportements à risque que leurs collègues au bureau, par exemple cliquer sur des liens de phishing ou utiliser des appareils personnels non corrigés pour le travail.
Il est également vrai que, si les violations dans les grandes entreprises font les gros titres, les plus petites sont souvent les plus touchées. Selon Barracuda, l'employé moyen d'une petite entreprise de moins de 100 salariés pourrait subir 350 % d'attaques de social engineering de plus qu'un employé d'une grande entreprise.
Que manque-t-il aux programmes actuels ?
D'où les efforts en faveur d'une plus grande cyber-résilience. Mais selon Osterman Research, les choses ne se passent pas bien. Il met en évidence plusieurs défis dans les programmes actuels, notamment :
- Formation inefficace des employés en matière de sécurité : près de la moitié des personnes interrogées déclarent que leurs employés ne sauraient pas quoi faire s'ils recevaient un e-mail de phishing, malgré des années de formation.
- Un manque de confiance général dans l'état de préparation du personnel
- Faible implication du conseil d'administration : seuls 56 % affirment que la sécurité est une priorité pour la direction.
- Un besoin de meilleurs outils : le Zero Trust, la protection des données et d'autres fonctionnalités font partie des deux principales exigences pour les participants
Un effort de l'ensemble de l'entreprise
IDC définit cinq étapes critiques pour un programme de cyber-résilience :
- Identifier les ressources critiques, mapper les processus et évaluer leur état de préparation
- Protéger vos actifs grâce à des contrôles de sécurité efficaces
- Détectez les menaces grâce à des analyses
- Réagir rapidement aux violations
- Récupérer rapidement après une attaque
Pour y parvenir, il est clair qu'il faut déployer des efforts à plusieurs niveaux et à l'échelle de toute l'entreprise. Cela signifie une meilleure implication du conseil d'administration, une meilleure formation pour les employés, des outils de détection et de réponse, ainsi que des bases de la cyberhygiène telles que l'application régulière de correctifs, les sauvegardes, le chiffrement et les firewalls, le tout au sein d'une stratégie de gestion des risques cohérente.
Les PME qui manquent de ressources et qui cherchent à mettre en place des contrôles de sécurité solides devraient se tourner vers des partenaires de confiance pour les aider dans la phase de protection de leur programme de résilience. C'est là que les plateformes de Secure Access Service Edge (SASE) ont un rôle à jouer en consolidant certaines fonctionnalités essentielles, notamment :
- Accès réseau Zero Trust pour atténuer les risques liés aux connexions des travailleurs à distance
- Firewall en tant que service, pour traiter un point important de la cyberhygiène et tenir les menaces éloignées
- Passerelle web sécurisée pour empêcher les travailleurs hybrides de cliquer sur des sites à risque
- SD-WAN sécurisé pour un déploiement simplifié, des coûts de bande passante réduits et une utilisation sécurisée du cloud
La cyber-résilience est la direction à prendre pour de nombreuses entreprises. Mais cela ne doit pas être hors de portée pour la communauté des PME. Avec la bonne approche et des outils consolidés basés sur des plateformes, les petites entreprises peuvent stimuler leur croissance digitale sans faire de compromis sur la sécurité.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter