La sécurité des PME : responsabilité et valeur des données sous-estimées ?

Selon une récente enquête[1] IPSOS, neuf PME sur dix sont conscientes du risque de piratage qui plane sur leur système d’information mais plus de la moitié d’entre elles ne prend aucune mesure pour se protéger des actes de malveillance.

Une étude qui révèle également que 90% des entreprises interrogées autorisent l’accès aux sites web potentiellement dangereux et que 70% échangent des documents avec leurs clients sans garantie de confidentialité. Malgré ces risques inconsidérés, 76% des dirigeants savent qu’ils sont pénalement responsables de l’utilisation d’internet dans leur organisation. Ces résultats mettent ainsi en lumière un certain nombre de contradictions sur la manière dont les entreprises gèrent leur sécurité face aux menaces actuelles. «Les entreprises ont conscience qu’elles encourent un réel danger mais ne mettent pour la plupart aucune mesure en place pour protéger leurs données et leurs ressources. Cette attitude est difficile à comprendre compte tenu du contexte dans lequel elles évoluent, avec l’explosion de cyber attaques de plus en sophistiquées et désormais inévitables, et des pirates toujours plus expérimentés et déterminés. » commente Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhyth.

Il est aujourd’hui vital que la sécurité des systèmes d’information occupe une place centrale au sein des organisations, quel que soit leur secteur d’activité et leur taille. Qu’il s’agisse des données internes ou liées à leurs clients, les organisations ont le devoir de garantir aussi bien leur protection que leur confidentialité. De plus, les PME peuvent être sous-traitantes, partenaires ou encore fournisseurs auprès de grandes entreprises. Mal protégées et vulnérables, elles sont susceptibles de représenter une porte d’entrée pour les hackers qui viseraient ces grandes entités.

Et en cas d’attaque, qui est responsable ? L’enjeu de la sécurité IT est crucial et soulève la question de la responsabilité juridique pour les dirigeants. Pourtant, l’étude IPSOS révèle que les trois quart des PME ignorent où sont stockés les documents échangés avec leurs clients, une situation invraisemblable à l’heure actuelle. Il est donc primordial que les risques liés aux cybermenaces soient pris très au sérieux par les dirigeants dont la responsabilité civile et pénale est engagée dès lors qu’une cyber attaque résulte d’une négligence. Lire l’article de Data Security Breach sur les Leçons de sécurité pour PME.

En outre, si la question d’élever le niveau de protection des Opérateurs d’Importance Vitale (OIV) est urgente, la sécurité IT au sein des PME n’en est pas moins importante. En effet, les entreprises sont la première cible des pirates informatiques et, tout comme les OIV ou encore les grands groupes, les PME peuvent être la cible de sabotage, d’espionnage industriel, de fraude ou encore d’exfiltration de données. C’est la raison pour laquelle le gouvernement, ainsi que des organismes tels que l’ANSSI ou encore la CNIL, ont mis en place un cadre juridique et des réglementations qui imposent à toutes les entreprises de définir et d’appliquer des processus visant à renforcer la protection de leur système d’information.

Parmi les solutions et les mesures complémentaires accessibles en matière de sécurité, nous assistons à l’émergence de la cyber assurance. Les assureurs ont en effet pris conscience du besoin grandissant des organisations en matière de protection des données qui, à l’heure du digital, sont pour certaines devenues des informations à valeur hautement monnayable. Bien que cette valeur soit parfois difficile à évaluer tout comme les impacts et les coûts réels d’une cyber attaque, le marché de la cyber assurance se développe et s’organise pour proposer des offres adaptées aux entreprises en fonction de leur taille, de leur secteur d’activité et du niveau de criticité de leurs données.

A partir du moment où une entreprise est connectée à internet, elle devient vulnérable. Pour garantir un haut niveau de sécurité de leurs données et ressources, ainsi que celles de tous les acteurs avec lesquels elles interagissent, les organisations doivent être aptes à se défendre contre les menaces internes et externes. Il existe aujourd’hui de nombreuses solutions et procédures adaptées pour assurer la sécurité des systèmes d’information, et ce quel que soit la taille, le secteur d’activité ou encore le budget sécurité d’une entreprise. Aucune excuse ne peut justifier la négligence de la protection IT. La sécurité doit être une responsabilité partagée de tous et il est aujourd’hui impensable voire criminel d’en faire fi.

[1] Source : Etude IPSOS menée pour Navista auprès d’un échantillon représentatif de 300 chefs d’entreprises et responsables IT d’entreprises de 1 à 99 salariés.