La sécurité des PME : responsabilité et valeur des données sous-estimées ?

Selon une récente enquête[1] IPSOS, neuf PME sur dix sont conscientes du risque de piratage qui plane sur leur système d’information mais plus de la moitié d’entre elles ne prend aucune mesure pour se protéger des actes de malveillance.

Une étude qui révèle également que 90% des entreprises interrogées autorisent l’accès aux sites web potentiellement dangereux et que 70% échangent des documents avec leurs clients sans garantie de confidentialité. Malgré ces risques inconsidérés, 76% des dirigeants savent qu’ils sont pénalement responsables de l’utilisation d’internet dans leur organisation. Ces résultats mettent ainsi en lumière un certain nombre de contradictions sur la manière dont les entreprises gèrent leur sécurité face aux menaces actuelles. «Les entreprises ont conscience qu’elles encourent un réel danger mais ne mettent pour la plupart aucune mesure en place pour protéger leurs données et leurs ressources. Cette attitude est difficile à comprendre compte tenu du contexte dans lequel elles évoluent, avec l’explosion de cyber attaques de plus en sophistiquées et désormais inévitables, et des pirates toujours plus expérimentés et déterminés. » commente Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhyth.

Il est aujourd’hui vital que la sécurité des systèmes d’information occupe une place centrale au sein des organisations, quel que soit leur secteur d’activité et leur taille. Qu’il s’agisse des données internes ou liées à leurs clients, les organisations ont le devoir de garantir aussi bien leur protection que leur confidentialité. De plus, les PME peuvent être sous-traitantes, partenaires ou encore fournisseurs auprès de grandes entreprises. Mal protégées et vulnérables, elles sont susceptibles de représenter une porte d’entrée pour les hackers qui viseraient ces grandes entités.

Et en cas d’attaque, qui est responsable ? L’enjeu de la sécurité IT est crucial et soulève la question de la responsabilité juridique pour les dirigeants. Pourtant, l’étude IPSOS révèle que les trois quart des PME ignorent où sont stockés les documents échangés avec leurs clients, une situation invraisemblable à l’heure actuelle. Il est donc primordial que les risques liés aux cybermenaces soient pris très au sérieux par les dirigeants dont la responsabilité civile et pénale est engagée dès lors qu’une cyber attaque résulte d’une négligence. Lire l’article de Data Security Breach sur les Leçons de sécurité pour PME.

En outre, si la question d’élever le niveau de protection des Opérateurs d’Importance Vitale (OIV) est urgente, la sécurité IT au sein des PME n’en est pas moins importante. En effet, les entreprises sont la première cible des pirates informatiques et, tout comme les OIV ou encore les grands groupes, les PME peuvent être la cible de sabotage, d’espionnage industriel, de fraude ou encore d’exfiltration de données. C’est la raison pour laquelle le gouvernement, ainsi que des organismes tels que l’ANSSI ou encore la CNIL, ont mis en place un cadre juridique et des réglementations qui imposent à toutes les entreprises de définir et d’appliquer des processus visant à renforcer la protection de leur système d’information.

Parmi les solutions et les mesures complémentaires accessibles en matière de sécurité, nous assistons à l’émergence de la cyber assurance. Les assureurs ont en effet pris conscience du besoin grandissant des organisations en matière de protection des données qui, à l’heure du digital, sont pour certaines devenues des informations à valeur hautement monnayable. Bien que cette valeur soit parfois difficile à évaluer tout comme les impacts et les coûts réels d’une cyber attaque, le marché de la cyber assurance se développe et s’organise pour proposer des offres adaptées aux entreprises en fonction de leur taille, de leur secteur d’activité et du niveau de criticité de leurs données.

A partir du moment où une entreprise est connectée à internet, elle devient vulnérable. Pour garantir un haut niveau de sécurité de leurs données et ressources, ainsi que celles de tous les acteurs avec lesquels elles interagissent, les organisations doivent être aptes à se défendre contre les menaces internes et externes. Il existe aujourd’hui de nombreuses solutions et procédures adaptées pour assurer la sécurité des systèmes d’information, et ce quel que soit la taille, le secteur d’activité ou encore le budget sécurité d’une entreprise. Aucune excuse ne peut justifier la négligence de la protection IT. La sécurité doit être une responsabilité partagée de tous et il est aujourd’hui impensable voire criminel d’en faire fi.

[1] Source : Etude IPSOS menée pour Navista auprès d’un échantillon représentatif de 300 chefs d’entreprises et responsables IT d’entreprises de 1 à 99 salariés.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Jean Pire Reply

    Finalement n’est ce pas plus mal? Ils réalisent d’un coup que l’informaticien qui leur disait de faire un backup et de se protéger avait raison.

    Ils réalisent que l’informatique dans l’entreprise ce n’est pas comme à la maison.

    Et enfin ils découvrent le bitcoin lorsqu’il faut payer une rançon.

    Finalement ils apprennent à rentrer dans le monde de demain 😉

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.