Les PME sont confrontées à une série d’obstacles à leur sécurité informatique et sont particulièrement exposées aux risques de compromissions de sécurité. En raison de leur taille et de leurs ressources relativement limitées en personnel et en technologies par rapport aux grandes entreprises, elles sont à la fois plus exposées à la cybercriminalité, et moins à même d’absorber les coûts pharaoniques qui peuvent en découler. C’est une des raisons majeures du manque de confiance des professionnels IT de PME face à la recrudescence des attaques. Autre facteur, la diversité de ces attaques, qui sont aussi de plus en plus sophistiquées. Celles-ci incluent les attaques en ligne d’ingénierie sociale / de phishing, les logiciels de demande de rançon (ransomware), les attaques qui ciblent en particulier les utilisateurs privilégiés, et les attaques de VPN (Virtual Private Network), permettant de s’infiltrer sur l’ensemble d’un réseau.

En plus de ces nouvelles menaces, les PME sont confrontées au quotidien aux mêmes défis informatiques que l’ensemble des entreprises, notamment la négligence des employés, sous-traitants et tierces parties vis-à-vis des pratiques de sécurité recommandées, les technologies patrimoniales devenues inefficaces face aux assauts de la cybercriminalité moderne, le manque de personnel, et l’absence de priorités de sécurité IT clairement définies.

Le rapport du Ponemon Institute sur le Coût de la Cybercriminalité en 2016 prouve que dans le contexte actuel de la cybercriminalité, une entreprise moyenne peut s’attendre à des pertes pouvant atteindre 4 millions d’Euros par cas de compromission de sécurité. Et selon une autre enquête du Ponemon Institute, le rapport sur l’État de la cybersécurité des PME en 2016, plus de 50 % des PME ont été victimes de cas de compromission de leur sécurité au cours de l’année dernière. Ce sont là des conséquences que les PME n’ont pas les moyens d’assumer.

Menaces et solutions

Pourtant, les PME doivent comprendre que l’absence de budget dédié et d’une large équipe de professionnels IT ne doit pas les empêcher de se préparer à ces difficultés et de mieux se protéger contre les tentatives de compromission. Des solutions existent au sein même de l’entreprise, rien qu’en mobilisant les ressources existantes, en éliminant les pratiques et outils à risque et en élargissant l’arsenal des technologies pour surmonter ces obstacles.

Voici cinq facteurs courants de menace pour la sécurité, et les solutions que les PME peuvent y opposer :

1. Attaques en ligne d’ingénierie sociale / de phishing
Solution : Éliminer les identifiants simples et partagés
Le rapport Ponemon sur l’état de la cybersécurité des PME en 2016 révèle que 65% des sondés n’observent pas de façon stricte les règles documentées de bonne gestion des mots de passe. Les PME doivent exiger de chaque utilisateur privilégié qu’il utilise ses propres identifiants. La décision de remplacer les identifiants simples ou partagés est facile à appliquer. Les PME peuvent en outre mettre en vigueur un système d’authentification plurifactoriel pour réduire les risques d’accès aux informations et systèmes sensibles d’éventuels pirates ou contrer les enregistreurs de frappe.

2. Menaces via les tierces parties
Solution : Évaluer régulièrement les utilisateurs privilégiés
Selon le tout dernier rapport Ponemon sur l’état de la cybersécurité des PME, 41 % des cas de compromission sont la conséquence d’erreurs de la part de tierces parties, tandis que 48 % sont provoqués par un employé ou sous-traitant négligent. Les PME doivent identifier ces utilisateurs privilégiés, évaluer leurs niveaux de permission IT, et s’assurer qu’ils n’aient accès qu’aux systèmes dont ils ont réellement besoin. De cette manière, des identifiants qui tomberaient entre les mauvaises mains risquent moins d’ouvrir les vannes en grand en cas de piratage.

3. Technologies patrimoniales
Solution : Surveiller les accès au réseau VPN (virtual private network)
Si bien des PME ont recours au VPN pour fournir à leurs utilisateurs un accès distant aux systèmes et fichiers dont ils ont besoin, nombreux sont ceux, même parmi les équipes IT, qui croient à tort que VPN rime avec sécurité. Mais en réalité, s’infiltrer dans un VPN est une méthode fréquente et efficace de piratage. Lorsque des cybercriminels obtiennent les identifiants et l’accès à un VPN, ils peuvent progresser au sein du réseau sans être détectés. En imposant des restrictions d’accès au VPN, on réduit les chances de succès de pirates potentiels ; dans certains cas, éliminer l’utilisation du VPN peut renforcer considérablement le profil de sécurité de l’entreprise.

4. Utilisation d’outils gratuits de prise en main et de support
Solution : Mener un audit technologique
Du fait de leur personnel et de leurs budgets limités, certains départements IT de PME ont recours à des outils gratuits pour le dépannage à distance des appareils d’utilisateurs ; mais cette stratégie est tout simplement trop risquée. Presque tous ces outils peuvent être considérés comme non autorisés et non sécurisés, et le personnel IT doit s’efforcer d’en bloquer l’accès. La première étape en ce sens consiste à mener un audit de tous les outils utilisés au sein de l’entreprise. Cet audit devrait être programmé plusieurs fois par an en vertu des meilleures pratiques de sécurité informatique. Une solution plus sûre pour les PME consiste à adopter par défaut un outil centralisé et sûr pour l’ensemble des accès à distance. De plus, si une entreprise externalise son support IT, ce qui est fréquent pour les PME, elle doit absolument s’assurer que le prestataire de services de support utilise une solution qui établit des connexions sécurisées avec les systèmes et les applications sensibles.

5. Manque de visibilité sur les menaces ou les failles de sécurité
Solution : Surveiller l’activité
La visibilité est un aspect que toutes les équipes IT peuvent optimiser, et que l’on a trop tendance à négliger. IBM et le Ponemon Institute se sont associés dans le cadre d’une étude réalisée auprès de 383 entreprises du monde entier ayant été victimes d’une compromission, avec des pertes de l’ordre de 3 000 à 101 500 dossiers compromis. Selon le rapport, la durée moyenne avant qu’un cas de compromission soit découvert est de 201 jours. L’un des facteurs qui explique ce long délai entre l’incident et sa détection relève de l’incapacité des entreprises à surveiller les accès : qui accède aux systèmes, quand, et pendant combien de temps. Une piste d’audit de ces informations peut aider à détecter les anomalies, et donc à repérer plus tôt toute activité suspecte. Les outils de prise en main à distance sont une des technologies permettant d’instaurer une piste d’audit. Savoir comment la technologie est utilisée et par qui permet aux entreprises de se tenir informées de ce que les utilisateurs privilégiés et d’autres tierces parties font sur le réseau.

Les petites et moyennes entreprises ont les mêmes responsabilités de sécurité que les grandes entreprises, et leurs données sont tout aussi précieuses aux yeux des cybercriminels. En observant ces mesures, leurs départements IT pourront continuer de faire un excellent travail et ils réussiront à protéger leurs entreprises des menaces de sécurité, sans devoir mobiliser les mêmes ressources que les grandes entreprises.

__________
Thierry Tailhardat est Directeur France de Bomgar