Pour une PME, maîtriser les risques numériques auxquels elle est exposée est une impérieuse nécessité… et un véritable défi.
Une nécessité, car les attaques informatiques sont de plus en plus nombreuses et n’épargnent pas les petites structures ; car les obligations légales sont de plus en plus pressantes, notamment pour les fournisseurs & prestataires d’organismes sensibles et les détenteurs de données personnelles ; car une crise cyber déstabilise une PME à tous égards, provoquant de lourds dommages économiques et de graves pertes de confiance des clients.
Un défi, car les compétences et ressources appropriées manquent, car le temps compté des dirigeants ne leur permet pas de s’investir dans un exercice qui n’est pas leur cœur de métier, car le sujet semble particulièrement difficile à aborder.
Et pourtant… le dirigeant se doit désormais d’être attentif à la sécurité de l’information et des systèmes, de s’investir dans la gouvernance du risque, d’arrêter les mesures de sécurité organisationnelles, opérationnelles et techniques nécessaires et de piloter le programme de gestion des risques et de maîtrise des incidents. Même s’il dirige une PME et qu’il n’a personne à qui confier le fardeau ! Alors comment faire ?
Certes, le dirigeant ne va pas transformer son entreprise en forteresse numérique, il n’en a pas les moyens et son activité en pâtirait. Néanmoins, il lui est possible de mettre en place une démarche raisonnable de sécurité numérique, créatrice de valeur, adaptée à ses risques et à ses enjeux. Ce n’est ni particulièrement compliqué ni très onéreux ; il peut initialement s’y engager avec ses ressources internes, en s’appuyant sur les guides ou diagnostics que l’on trouve en ligne, ou accélérer en mobilisant quelques jours de compétence externe qualifiée. Des ressources officielles peuvent l’aider à démarrer, par exemple France Num et son annuaire des activateurs France Num qui aident les PME partout sur le territoire français, ou encore cybermalveillance.gouv.fr, notamment en cas de crise.
Rappelons que la cybersécurité vise à assurer la confidentialité, l’intégrité et la disponibilité des données et systèmes d’information. Au-delà de quelques règles essentielles de cyber-hygiène toujours pertinentes (sauvegardes, authentification et mots de passe, chiffrement, antivirus, cloisonnement, mises à jour…), cette démarche doit respecter les enjeux stratégiques et le contexte propre de l’entreprise. Elle doit prendre en compte les activités clés de cette dernière, ses actifs informationnels, son inventaire informatique et ses processus opérationnels : plagier le contexte d’une autre entreprise entraînerait de mauvais choix.
Il ne faut surtout pas imaginer que la petite taille de l’entreprise la met à l’abri des cyberattaques : souvent non intentionnellement ciblées, celles-ci vont frapper là où les défenses sont les plus faibles. En outre, le piratage d’une PME peut fournir un accès vers d’autres cibles de grande valeur (clients, partenaires…) au hacker, qui va alors déployer des moyens sophistiqués pour l’atteindre.
Une fois les actifs informationnels identifiés, une analyse de risque simplifiée constitue la première étape de la démarche. Passant en revue les vulnérabilités du système d’information et les menaces de l’environnement de l’entreprise, elle permet d’identifier quelques scenarios de menace et de cartographier les principaux risques. Ceux-ci sont positionnés sur une « heat map » (vraisemblance x impact), qui facilite l’identification de ceux qu’il faut impérativement prendre en compte. Le dirigeant décide alors pour chacun de ces risques critiques s’il doit être : – toléré (lorsqu’il paraît acceptable au regard de l’activité correspondante), – transféré (à un acteur externe tel qu’un assureur ou un cocontractant), – terminé (en revisitant l’activité correspondante afin d’éviter le risque), – ou traité (en mettant en œuvre des mesures destinées à le rendre acceptable). L’ensemble de ces mesures priorisées, techniques et non-techniques, constitue le programme de maîtrise des risques cyber de l’entreprise. Il comprend des actions organisationnelles, humaines, techniques et opérationnelles dont quelques exemples figurent ci-dessous.
En termes organisationnels et de gouvernance, au-delà de l’indispensable engagement de la direction, il convient d’élaborer les plans de résilience et gestion des incidents, de définir la stratégie et la politique de sécurité, de classifier les actifs informationnels, de régulièrement revisiter les risques et de faire vivre le programme d’action. La conformité aux réglementations cyber et au RGPD, le management des risques numériques présentés par les partenaires d’affaires et la supply chain, éventuellement l’assurance cyber, figurent également au menu.
En termes de ressources humaines, il s’agit de communiquer sur la sécurité de l’entreprise, de sensibiliser le management et les équipes aux risques numériques et à la cyber-hygiène, de bien gérer les arrivées et surtout les départs, d’officialiser une charte informatique, de formaliser l’attribution des droits.
En termes techniques et d’outils, on s’appuie généralement sur une utilisation appropriée de la cryptographie, le cloisonnement des flux et données, l’authentification forte, la protection physique et logicielle des postes de travail, la sécurisation des accès, la journalisation, la protection du courrier électronique, les scans de vulnérabilités, etc.
En termes opérationnels, il s’agit de maîtriser les parcs informatique & applicatif et leurs évolutions, de systématiser les mises à jour et les sauvegardes, de gérer les identités et les accès (notamment les accès à privilège), de durcir la configuration des infrastructures informatiques (dans le cloud ou en local) et si possible de surveiller.
Prise isolément, aucune des mesures ci-dessus ne constitue une réponse satisfaisante au risque cyber, et certaines ne sont d’ailleurs pas appropriées pour les plus petites entreprises. De même, quelque soit le discours commercial du vendeur, aucune solution technologique ne suffit à la tâche ; beaucoup sont même inutiles dans le contexte d’une PME. C’est une combinaison de mesures pertinentes, fondée sur les activités et risques de l’entreprise, cohérente avec sa stratégie et son organisation, qui élèvera réellement la maturité cyber de l’entreprise et réduira sérieusement son risque numérique.
Lorsque le dirigeant d’une PME la priorise, cette démarche peut se dérouler sur quelques semaines. Le programme de maîtrise des risques cyber qui en découle donne des premiers résultats rapidement et augmente beaucoup, en quelques mois, la maturité cyber de l’entreprise. Les risques ne seront pas réduits à zéro mais l’entreprise aura significativement accru sa sécurité et sa résilience. Face à une cible ainsi mieux protégée, les hackers iront opérer ailleurs !
Alors que le risque cyber demeure la source de préoccupation numéro un des entreprises, développer la maturité cyber et le niveau de protection réel des PME n’est pas hors de portée. La démarche doit néanmoins être conduite sur la base de leurs risques et enjeux propres et non simplement à partir de conseils génériques ou commercialement orientés. C’est même une priorité afin de maintenir un tissu économique et industriel résilient en France.