Les TPE & PME sont-elles vraiment les déshéritées de la cybersécurité ?

Quelle est la vision de Soteria Lab sur ce sujet ?

Lors d’un récent article, nous avions comparé la quiétude cyber de nos Jeux Olympiques et Paralympiques 2024 à une rentrée (malheureusement) très active sur le front des cyberattaques pour nos entreprises. Cette situation paradoxale s’explique selon nous d’un côté par une intense anticipation de la cybermenace permis par la conjonction des efforts de l’ANSSI et des organisateurs des JO et JOP, et de l’autre côté par une moindre préparation des entreprises et par une sous-estimation du risque. Et évidemment les TPE & PME sont plus particulièrement considérées comme des déshéritées de la cybersécurité.

Mais comment évoquer le risque cybersécurité pour les TPE et PME sans évoquer d’abord leur extrême diversité !

Notre quotidien nous expose à la réalisation de diagnostics cybersécurité dans des structures souvent situées dans la tranche de 10 à 250 salariés. Ces entreprises disposent de moyens, de stratégies, et de maturités numériques par nature extraordinairement différentes. Nous sommes amenés à intervenir aussi bien sur la préparation de plans de réponse à incident pour des entreprises de taille modeste mais fortement numérisées, ou déployer des actions de sensibilisation des utilisateurs dans des TPE dont l’activité est très éloignée du numérique. Ces deux exemples très éloignés donnent une idée de la difficulté à analyser le sujet des PME/TPE avec un regard unique, concernant la cybersécurité.

Quels points communs entre toutes les TPE & PME ?

Ces TPE/PME vivent deux situations identiques pour la grande majorité d’entre elles. Tout d’abord, c’est la notion de capacités d’investissement et de recrutement qui les rapproche et ce d’autant plus quand le curseur se rapproche de la TPE.  Investir fait partie de leur quotidien, mais avec leurs moyens à eux, et une vision centrée d’abord sur leur activité. Ensuite la compréhension du risque cybersécurité - comme des solutions à ce risque – est souvent assez homogène du côté des dirigeants.  Sensibilisés, inquiets, en quête d’actions à entreprendre, mais perplexes face à un sujet complexe et évolutif.

Sur ce dernier point, notre constat est que les réponses habituellement proposées aux TPE & PME le sont par leurs prestataires habituels, intégrateurs informatiques, opérateurs télécoms ou infogéreurs. Ces réponses peuvent convenir à des ETI, avec une équipe informatique suffisamment dimensionnée, avec une fonction RSSI assumée en interne, avec la prise en compte des leviers humains, technologiques et organisationnels. Par contre, ces réponses conviennent beaucoup plus difficilement à des TPE & PME. Trop souvent le fait de multiples offreurs, nécessitant une intégration d’offres technologiques différentes et hétérogènes, ces solutions sont la plupart du temps mises en œuvre indépendamment les unes des autres. La gouvernance de cette vision de la cybersécurité est très difficile à assumer pour une TPE & PME, d’où le risque d’une cybersécurité insuffisante, pas pilotée sur la durée, donc peu conforme avec les objectifs initiaux du dirigeant de TPE & PME, d’autant plus que les budgets proposés peuvent être peu compatibles avec leurs prévisions engagements ou engagements financiers.

Vision Soteria Lab de la cybersécurité pour TPE & PME

Notre développement s’appuie précisément sur ce constat. À l'opposé des offres d'intégration de solutions technologiques hétérogènes mises en œuvre indépendamment les unes des autres, Soteria Lab considère la cybersécurité des TPE et PME comme une suite de services complémentaires visant à leur réelle résilience, suite potentiellement intégrée et gérée de bout en bout, respectant leurs enjeux budgétaires. C’est tout le sens de notre offre HOPLITE, capable d’élever la cyber résilience d’une TPE ou PME au niveau le plus élevé en agissant sur tous les leviers nécessaires avec l’indispensable gouvernance procurée par un RSSI proposé en mode externalisé. Actuellement HOPLITE protège aussi bien des TPE (effectif de 3 personnes pour la plus petite structure) que des organisations comptant plus de 150 salariés.

Deux obstacles

La citation démarrant cet article évoquait la notion de « réaliser le minimum requis » par les TPE & PME. Il faut dire que études de marché comme entretiens réels tenus avec nos clients montrent bien que les dirigeants de TPE & PME sont informées sur le sujet cybersécurité. Probablement que la réflexion de Jérôme Notin tient à des circonstances ou croyances : le fait de se croire à l’abri d’une cyberattaque, et la grande diversité des solutions proposées compliquant le choix du dirigeant.

Que faire face à ces deux "obstacles" ?

Oui, l’erreur très fréquente des TPE & PME est de sous-estimer la menace. Toutes les entreprises, petites ou grandes, sont susceptibles d’être ciblées et les TPE ou PME constituent des cibles plus faciles pour les pirates. Selon l’ANSSI, seul un tiers des TPE & PME est considéré comme correctement paré.

Oui, le choix du dirigeant est complexe face à la multitude de briques technologiques proposées par une multitude de prestataires, avec en sus une cybersécurité devenue une activité source de revenus pour des acteurs IT en quête de nouvelle croissance.

Mais un atout fort s’est affirmé ces dernières années pour les dirigeants de TPE & PME.

L'atout proposé par Etat et Collectivités

La mobilisation de l’état et des collectivités est assez exceptionnelle. Dans un moment de leur histoire où ces structures ont intégré le numérique dans tous leurs processus, avec des clients et partenaires qui interagissent d’abord en digital, l’état et les collectivités ont conscience du risque et de son impact sur la santé économique des régions.

Cette prise de conscience est visible d’abord par toutes les initiatives de communication engagées par l’ANSSI et par la plateforme cybermalveillance.gouv.fr issue de la stratégie numérique du gouvernement qui fut présentée en 2015.
Cette prise de conscience se poursuit avec les capacités à disposer d’un co-financement pour les fameux Diagnostics Cybersécurité, tant par les régions (et notamment en région Grand Est), que par Bpifrance.  Elle se concrétise aussi par les CISRT ou centres de réponses à incident (et notamment en Grand Est avec le CSIRT Grand Est).

Pour Soteria Lab tous ces dispositifs vont dans le bon sens. Ce qui manque encore peut-être, c’est la prise de conscience du côté des dirigeants de TPE & PME que la cybersécurité n’était pas comprise « by design » dans leurs réseaux télécoms, dans leurs solutions cloud, ou dans leur informatique, même toute récemment mise en place.

Qu’ils soient co-financés par une Région ou par Bpifrance, le rôle des Diagnostics Cybersécurité est essentiel. C’est vraiment notre vision, faire d’un diagnostic cybersécurité le point d’entrée d’une vraie stratégie cybersécurité, gouvernée sur plusieurs années. Et notre offre HOPLITE a été conçue uniquement pour les TPE & PME, en respectant leur ‘complexité’ ou plutôt ‘spécificité’ et leurs enjeux budgétaires.

Une conclusion ?

Voilà, vous aurez remarqué que dans cet article, nous n’avons nulle part évoqué de statistiques décourageantes, de pourcentages de dépôt de bilans consécutifs à une cyberattaque, de part des entreprises françaises déjà cyber attaquées. Ces statistiques sont actuellement très débattues et elles s’inscrivent trop souvent dans un marketing de la peur. Ce qui est certain, c’est que nous assistons de nombreuses entreprises en proie au doute, ou pire en arrêt d’activité. Et dans ce cas, c’est un stress énorme qui touche les dirigeants de ces TPE & PME, avec un agenda totalement bousculé pour des semaines, voire des mois.
Notre conclusion ? Ce sont malheureusement les entreprises qui sont mal préparées, pas les attaquants qui sont extrêmement forts. Et la première étape pour se préparer et affronter la menace, c’est peut-être de contacter un pure player de la cybersécurité et de lui confier son diagnostic cybersécurité.