Cadenas rouge cassé en 2D avec des chiffres bleus sécurisés sur un fond sarcelle avec code binaire

Combler le déficit de sécurité des petites et moyennes entreprises

#KingstonCognate présente le professeur Sally Eaves

Photo de la professeure Sally Eaves

Sally Eaves est présidente de Cyber Trust et conseillère politique principale pour la Fondation mondiale d’études et de recherches sur le cyber-espace. Décrite comme le ‘porte-flambeau de la technologie éthique, elle est la première lauréate du prix Frontier Technology and Social Impact Award, décerné par les Nations unies. Directrice générale de la technologie de formation, aujourd’hui professeur en technologies avancées et conseillère stratégique mondiale en matière de technologies émergentes, Sally est une auteure internationale primée, une animatrice, une conférencière et une leader d’opinion sur la transformation numérique (IA, 5G, Cloud, Blockchain, cyber-sécurité, gouvernance, IoT, science des données) ainsi que sur la culture, les compétences, la DEI, la durabilité et l’impact social.

Sally éduque et parraine activement pour soutenir la prochaine génération de talents technologiques et a fondé Aspirational Futures pour améliorer l’inclusion, la diversité et l’égalité dans l’éducation et la technologie, son dernier livre sur « Tech For Good » (La technologie pour le bien) devant être publié en 2022. Sally est régulièrement reconnue pour son influence mondiale dans l’espace technologique par des organismes de premier plan tels que Onalytica. Elle figure dans le top 10 mondial dans de multiples disciplines allant de l’IA à la 5G en passant par le développement durable, entre autres.

Les cyber-menaces des PME

Les petites et moyennes entreprises (PME) jouent un rôle essentiel tant dans les économies nationales que dans la stabilité et la croissance économiques internationales. Environ 400 millions de PME constituent l’épine dorsale de notre économie mondiale et sont la principale source de travail et de création d’emplois, représentant plus de 95 % de toutes les entités commerciales et 60 à 70 % des emplois.

Il est donc impératif, tant pour l’économie que pour la sécurité, que les PME puissent saisir toutes les opportunités offertes par le monde numérique omni-canal d’aujourd’hui, tout en maintenant une cyber-sécurité solide.

Et cela arrive à un moment de changement significatif. De nombreuses PME ont dû adopter rapidement de nouvelles stratégies et technologies numériques afin de maintenir, de pivoter ou de diversifier leurs activités et modèles commerciaux, tout en faisant face à une pandémie mondiale et à la montée du travail à distance/hybride. Cela a également généré des cyber-risques supplémentaires.

Cela donne à réfléchir : les cyber-attaques se produisent toutes les 39 secondes, 2 244 fois par jour en moyenne (Varoni 2020), et la vulnérabilité des PME face aux cyber-attaques augmente chaque année de plus de 400 %. Hors, il arrive que leur garde soit réduite et qu’elles y dédient moins de ressources et de réserves financières pour les gérer efficacement. Cet article décrit le paysage moderne des menaces pour les PME et les raisons pour lesquelles il est si important. Ainsi que les principaux défis à relever pour accroître leur sensibilisation, essentielle pour évoluer et les préparer aux dangers futurs qui menacent la cyber-sécurité.

Le moment est venu de comprendre que l’idée selon laquelle les PME ont moins de valeur à offrir aux cyber-criminels et aux pirates informatiques, et à l’économie mondiale dans son ensemble, est fausse. Aussi, outre la recherche, il est essentiel d’investir, d’éduquer et de sensibiliser les PME à ces risques accrus. Prof. Sally Eaves

Risques croissants pour les PME : Pourquoi c’est si important

Silhouette de pirate informatique d’un homme encapuchonné tapant et des chiffres flottant devant lui avec des données binaires et un plan du site derrière lui

La taille d’une entreprise est souvent considérée à tort comme un facteur déterminant du coût d’une cyber-attaque et du manque de préparation à la cyber-résilience, à commencer par l’interruption des activités et les pertes financières. Pour replacer les choses dans leur contexte, une étude récente menée au Royaume-Uni (Vodafone Business 2021) révèle que le coût moyen d’une cyber-attaque réussie s’élève à 3 230 £. Ce rapport indique qu’une telle perte entraînerait la faillite de près d’un quart des PME britanniques et que 16 % d’entre elles devraient licencier du personnel. Ces chiffres sont également conformes à ceux d’autres études internationales. Et le risque ne s’arrête pas là. L’impact de l’atteinte à la réputation et la perte de confiance des consommateurs ou de l’écosystème sont des effets qui peuvent durer encore plus longtemps pour les entreprises qui survivent à la menace initiale. Quelque 81 % des consommateurs déclarent qu’ils cesseraient de s’engager avec une marque en ligne à la suite d’une violation de données.

En outre, et pour défier une autre idée reçue, les données des PME, qui travaillent avec un grand nombre de fournisseurs et de partenaires, sont tout aussi précieuses que celles des grandes entreprises, et peuvent constituer une passerelle d’accès à d’autres organisations. Si un cyber-attaquant peut pénétrer dans n’importe quel maillon de la chaîne d’approvisionnement, il peut plus facilement s’attaquer aux autres entreprises, souvent plus grandes, qui la composent. En outre, les données des PME sont généralement beaucoup plus faciles à voler. Il n’est donc pas surprenant de constater que non seulement la fréquence, mais aussi la sophistication des cyber-attaques visant ce secteur s’intensifient, et ce à un rythme effréné, les pirates opérant désormais en tant que groupe organisé avec pour objectif commun le gain financier.

Évolution du paysage des menaces pour les PME

Une nouvelle étude met en évidence l’ampleur réelle de la menace pesant sur les PME par rapport aux grandes entreprises. En 2019-2020, 65 % des PME subiront une cyber-attaque, contre 46 % de l’ensemble des entreprises (Towergate), ce qui confirme que les attaques se répètent ! Les PME qui subissent une violation sont touchées en moyenne 6 fois chacune au cours de cette période. Une fois tous les deux mois, c’est stupéfiant ! (NatWest).

Quelles sont les principales tactiques de menace auxquelles sont confrontées les PME ?

On pense tout d’abord à 2 vecteurs de menaces externes essentiels : le phishing (hameçonnage) et l’ingénierie sociale, ainsi que l’écosystème de la chaîne d’approvisionnement. Si l’on ajoute à cela les vecteurs de menaces internes, notamment l’absence d’évaluation des risques, la faiblesse du contrôle d’accès, de la protection des données, des dispositifs et des mots de passe, les faibles niveaux d’investissement, l’insuffisance de la formation et de la sensibilisation, la culture et les compétences en matière de cyber-hygiène, on obtient une surface d’attaque potentiellement vaste.

Un symbole de courrier ouvert avec un hameçon de pêche à travers la lettre

Phishing et ingénierie sociale
85 % des cyber-attaques proviennent de tentatives de phishing qui visent à inciter les utilisateurs à « faire ce qu’il ne faut pas », par exemple télécharger un logiciel malveillant, le plus souvent via des e-mails. Et ces tentatives sont de plus en plus sophistiquées. En effet, un test récent a révélé que l’intelligence artificielle était capable d’écrire des e-mails de phishing optimisés ! Souvent liée au phishing, l’ingénierie sociale décrit le processus de manipulation des personnes par l’usurpation d’identité, la persuasion ou même l’intimidation pour qu’elles entreprennent une action spécifique ou révèlent des informations confidentielles. La pandémie en est un exemple, les cyber-criminels se nourrissant de notre vulnérabilité collective et tentant de compromettre des comptes en utilisant des e-mails, SMS ou messages WhatsApp de phishing ayant pour objet le Covid-19, ou même en incluant une pièce jointe se présentant comme provenant de l’Organisation mondiale de la santé (OMS). Si l’on replace tout cela dans son contexte, le niveau de transformation de ce type de cyber-menace est révélateur. Il suffit de penser à la toute première cyber-attaque enregistrée, appelée « Morris Worm », en 1988. Elle a touché 6 000 ordinateurs, ce qui correspondait alors à environ 10 % de l’ensemble de l’Internet. Comme les temps ont changé !

Illustration d’une photo de profil avec 3 lignes en dessous pointant vers 3 cercles

Chaîne d’approvisionnement
Devenu un vecteur d’attaque privilégié des cyber-criminels, la plupart des brèches proviennent d’une source logicielle plutôt que matérielle, par exemple un logiciel malveillant infiltrant les mises à jour régulières des logiciels. Les attaques visent à cibler une PME via ses propres chaînes d’approvisionnement ou, plus généralement, à compromettre la PME pour ensuite s’attaquer à de plus grandes organisations. Les bibliothèques de logiciels libres constituent un autre domaine de vulnérabilité de la chaîne d’approvisionnement. À l’avenir, les connexions IoT devraient plus que doubler, pour atteindre 75 milliards d’appareils d’ici 2025, ce qui crée en soi de nouveaux cyber-risques. Du matériel peu coûteux peut être connecté à des réseaux, et de nombreux appareils qui s’y trouvent sont vulnérables aux attaques. Si l’on considère cette situation du point de vue de la convergence informatique/technologie de l’information et de l’écosystème de la chaîne d’approvisionnement, l’expansion de la zone de menace devient centrale.

Les obstacles au cyber-risque des PME

Ce la soulève une question centrale : quels sont les principaux facteurs qui empêchent les PME d’adopter les dernières protections pour être plus proactives face aux cyber-risques ? Tout d’abord, il existe manifestement un écart entre la sensibilisation et l’actualisation. Par exemple, une étude récente a montré que 93 % des PME considéraient la cyber-sécurité comme vitale pour la continuité de leurs activités, mais que 64 % seulement utilisaient effectivement des solutions de cyber-sécurité. En outre, une enquête européenne a révélé un écart entre la prise de conscience et la réalité. En effet, de nombreuses PME croient, à tort, que les contrôles de cyber-sécurité sont inclus dans les produits informatiques qu’elles ont achetés et qu’aucune mesure de sécurité supplémentaire n’est nécessaire, sauf si elle est imposée par des exigences de conformité ou des réglementations (enisa 2021).

La capacité d’investissement est un autre défi, Statista (2020) a constaté que l’investissement dans la cyber-sécurité s’élevait à 5 100 £ en moyenne, ce qui pourrait amener les PME à penser qu’elles sont dans la bonne fourchette en termes de dépenses. Mais ce chiffre est faussé par le nombre de micro et petites entreprises, qui ont dépensé en moyenne 3 490 £. Si l’on compare ce chiffre à celui des grandes entreprises, qui sont sans doute mieux préparées (ou, du moins, qui disposent de plus de ressources), on obtient un investissement moyen de 277 000 £, ce qui révèle un vaste fossé, que les acteurs malveillants se font un plaisir d’exploiter !

Parmi les autres facteurs, citons une « cyber-culture » sous-développée, des perceptions de complexité excessive, des préoccupations et souvent des idées fausses concernant la sécurité du cloud, ainsi qu’une méconnaissance générale de la technologie et de l’assistance qui sont « effectivement à la portée » des PME. Le plus alarmant est sans doute le fait que 54 % des participants à une enquête récente ont déclaré que leur entreprise ne formait pas le personnel à la sécurité des données et aux menaces de cyber-sécurité (Vodafone Business 2021).

Négliger le cyber-risque

La Data Traveler Vault Privacy 3.0 de Kingston branchée sur un ordinateur portable avec des codes binaires en arrière-plan et un symbole de verrouillage et de mot de passe

Il est clair que la cyber-sécurité devrait figurer en tête des priorités de chacun, quelle que soit la taille de l’organisation ! Les menaces ne cessent de croître et de prendre de l’importance. Aussi, il n’a jamais été aussi important de veiller à ce que vos systèmes ne soient pas une « porte ouverte » aux attaques. Cela nécessite une coordination minutieuse des personnes, des processus, des systèmes, des réseaux et de la technologie. Et cela implique un changement d’état d’esprit, de culture et de valeurs avec une responsabilité partagée, pour garantir un changement de comportement et l’adhésion qui sous-tend toujours un changement technologique réussi. Et comme les PME sont compromises par la principale tactique de menace centrée sur l’homme, le phishing et l’ingénierie sociale, l’éducation est un élément stratégique essentiel. Et le moteur de ce document. Plus vous êtes conscient de ces zones de danger, plus votre niveau de cyber-sécurité peut être solide.

Pour commencer à prendre des mesures dès aujourd’hui, il est essentiel de se concentrer sur la prévention des pertes de données, en examinant les données qui existent localement chez vos employés. Les clés USB cryptées peuvent s’avérer très efficaces à cet égard, car elles permettent de s’assurer que les données sensibles peuvent être stockées et transférées de manière aussi sûre que possible.

Kingston Technology est un leader établi de longue date et de confiance dans le domaine des clés USB cryptées, et peut offrir un soutien personnalisé quant aux avantages pour votre entreprise et l’adaptation à ses besoins. En outre, la formidable équipe « Demander à un expert » de Kingston Technology peut vous fournir des conseils sur mesure sur les différents avantages, en parfaite adéquation avec votre environnement de stockage et vos besoins spécifiques.

Et enfin, dans la suite de cet article, vous pourrez découvrir les 12 conseils les plus importants que les PME peuvent suivre pour améliorer leur cyber-sécurité à travers des approches basées sur la technologie, les processus et les personnes. Bientôt !

#KingstonIsWithYou

Demandez à un expert

Demandez à un expert

Pour planifier la bonne solution, les objectifs de votre projet de sécurité doivent être clairement définis. Les experts de Kingston Technology sont là pour vous aider.

Demandez à un expert.

Produits connexes

Articles