Sécurité de l'information : Quelle approche adopter pour les TPE-PME ?

Résilience ou protection ? Quelle doctrine choisir ? Jean-Yves Oberlé partage son analyse sur le comportement que doivent adopter les TPE-PME face à la menace des cyberattaques.

La crise sanitaire du Covid-19 et la digitalisation qu'elle a accentuée ont fortement sensibilisé les TPE et PME. Attaques de déni de service, ransomware, les techniques d’attaque se diversifient. Selon les dernières prévisions du Gartner, les dépenses mondiales en matière de sécurité de l’information devraient augmenter de 12,4 % pour atteindre 150,4 milliards de dollars cette année.

Dorénavant, être accompagné dans la sécurisation de ses systèmes d’informations dans une démarche de pilotage et de maîtrise des risques est un enjeu majeur au sein des entreprises. 

#1 - Résilience versus menaces : la nouvelle doctrine 

Il est temps de donner la prééminence à la résilience de l’entreprise en opposition à l’intention de bloquer toutes les attaques. Il serait illusoire, voire dangereux, de croire possible de contrer toutes les cyberattaques car la prévention n’offre pas une protection absolue et génère un faux sentiment de sécurité. Face à cette observation, l’approche idéale consiste à prévoir les solutions de secours qui permettront aux entreprises de surmonter les évènements gravement perturbateurs, par la réduction des conséquences. La méthodologie la plus adéquate consiste à déterminer les exigences de sécurité propres à chaque société. Le juste niveau de protection peut être évalué, grâce à des scénarios de risque métier établis sur 3 critères (l’analyse des services essentiels de l’organisation, du niveau de dangerosité des menaces et de la réalité des risques).

La priorité n’est donc pas de parer à toutes les menaces dans une recherche qui ne pourrait être exhaustive, mais plutôt d’identifier et de se concentrer sur les risques majeurs à l’activité de l’entreprise. Une focalisation sur les menaces majeures est cruciale pour clairement identifier les dommages possibles. C’est cette logique de compréhension et de réaction qui va permettre de minimiser les dégâts en cas d’attaque. Quelles sont les activités essentielles de l’entreprise ? Comment les maintenir ou redémarrer après une attaque ? Se poser ces questions est une étape déterminante dans le renforcement de la résilience. 

#2 - Un parcours de sécurité en 4 temps 

Les sauvegardes et les procédures de secours sont les premiers éléments déterminants de résilience et sont essentielles à la reprise des activités en cas de cyberattaque. Le deuxième élément est le contrôle des accès logiques, en termes de gestion des droits pour bloquer techniquement les attaques. Si les entreprises ont pris conscience des risques de cyberattaque, elles ne se protègent encore pas assez : une récente étude menée par l'Ifop pour F-Secure révèle que neuf entreprises sur dix estiment essentiel de se prémunir contre les attaques informatiques, mais qu’une sur deux notamment dans les TPE/PME ne sécurise pas ses postes de travail et une sur trois n’utilise même pas d’antivirus. 

La sensibilisation et la formation ne suffisent pas : la mobilisation du personnel et la gestion des risques doivent être intégrées aux objectifs professionnels de chacun. "La force de la cité ne réside pas dans ses remparts, mais dans le caractère de ses citoyens" affirmait Thucydide, 5°siècle av. J-C. En effet, quelle que soit la sophistication des outils technologiques, c’est le comportement des utilisateurs qui constitue un vecteur de protection essentielle.. Chacun des collaborateurs doit avoir ses objectifs de sécurité dans sa définition de poste au même titre que ses objectifs métier. Ainsi il sera apprécié en regard de l’atteinte de l’ensemble de ses objectifs.  Enfin, toutes les entreprises, quelle que soit leur taille, doivent se conformer aux législations en vigueur dans leurs pays respectifs. Dans le cas de l’Europe, respecter la RGPD est une étape obligatoire sous peine de pénalité de 4% du chiffres d’affaires corporate. Les TPE/ PME de par leur taille ont la capacité à s’adapter plus facilement au changement et au marché grâce à leur souplesse organisationnelle et à la fluidité de leurs processus ; leur chaîne de décision est plus réactive compte tenu de l’interactivité relationnelle d’acteurs plus facilement mobilisables au sein d’une hiérarchie allégée.  Il s’agit désormais de mobiliser le personnel, les technologies et de mettre en place les solutions de reprise des activités pour faire face aux risques majeurs et soutenir les activités de l’entreprise. La sécurité de l’information commande aux TPE/PME d’intégrer la cybersécurité dans le champ de la gouvernance car elle n’est plus  seulement l’affaire des techniciens, elle devient l’affaire de chacun selon ses fonctions dans l’entreprise.