Les PME accusent un retard considérable par rapport aux grandes organisations en ce qui concerne la mise en œuvre de la sécurité. Les études montrent que des mesures relativement faciles à mettre en œuvre restent insuffisantes.
Les PME européennes obtiennent en moyenne un score inférieur de 15 % à celui des grandes entreprises en matière de cybersécurité. C’est ce qui ressort d’une étude réalisée par l’assureur Marsh McLennan à partir d’un outil d’auto-évaluation de la cybersécurité rempli par 320 PME et grandes organisations en Europe. L’évaluation fournit une note globale, mais l’enquête révèle des lacunes très spécifiques.
MFA
L’importance de l’authentification multifactorielle (AMF), par exemple, a été discrètement reconnue par les grandes entreprises. Pour les sessions de connexion à distance, 91 % des grandes entreprises (dont le chiffre d’affaires est supérieur à 250 millions d’euros) ont activé l’AMF. Dans les PME, ce chiffre n’est que de 75 %. Pourtant, les connexions verrouillées et les mauvais mots de passe constituent le principal vecteur d’attaque des pirates, et l’AMF est une solution très simple et efficace. Ce n’est pas pour rien que des acteurs majeurs tels que Microsoft imposent cette fonctionnalité à leurs clients.
En cas de problème, 61 % des grandes entreprises déclarent non seulement disposer d’un plan, mais aussi le tester de temps à autre. La mise à l’épreuve des plans de réponse aux incidents reste donc limitée, mais les chiffres sont encore pires pour les entreprises dont le chiffre d’affaires est inférieur à 250 millions d’euros. Seules 40 % d’entre elles déclarent disposer d’un tel plan et le tester. En réalité, les chiffres sont probablement pires, car ces résultats proviennent d’organisations qui font déjà l’effort de contacter un assureur et de remplir l’auto-évaluation.
Manque de formation
Il existe également une grande lacune en matière de formation, bien qu’elle soit principalement spécifique à un secteur. Dans le secteur financier, les PME reconnaissent la pertinence d’une formation à la cybersécurité et 85 % d’entre elles la prévoient. Dans le secteur manufacturier, elles ne sont que 58 % à le faire, bien que les attaques qui y sont perpétrées puissent avoir des conséquences physiques considérables. Les criminels peuvent par exemple faire fermer des usines.
Les PME constituent un élément essentiel de l’économie et des chaînes d’approvisionnement en produits et solutions, y compris pour les grandes entreprises. L’écart de cyber-résilience entre les grandes et les petites entreprises est problématique pour tout le monde. Après tout, les attaquants recherchent le maillon le plus faible de la chaîne.