Les PME pensent qu'elles sont trop petites pour attirer l'attention des cybercriminels.
Selon une récente enquête de Malwarebytes 3., 32% des PME en activité depuis plus de dix ans pensent qu'elles ne seront pas visées par des cyberattaques. La même enquête a également révélé que les jeunes PME sont plus ignorantes de la possibilité d'une violation. Des adversaires ont mis la main sur les données de Target en compromettant le serveur d'une passerelle d'un de ses fournisseurs tiers à l'aide d'un identifiant volé. La violation de cette PME a entraîné une attaque à grande échelle.
En 2019, un petit cabinet médical basé en Californie [a décidé de fermer](https://woodranchmedical.com/) ses portes car il n'avait pas les moyens de reconstruire les dossiers médicaux des patients qu'il avait perdus suite à une attaque par ransomware.
Les cyberattaques anciennes et récentes montrent que les acteurs des menaces ne font pas de discrimination en fonction de la taille d'une entreprise.
Les PME adoptent rapidement des services et des applications cloud
L'augmentation soudaine du télétravail causée par la pandémie de COVID-19 a entraîné une augmentation parallèle de l'adoption des services cloud par les PME, 86% d'entre elles déclarant que leur utilisation et leur adoption du cloud ont augmenté à la suite de la pandémie 4. Bien que le cloud ait été un sauveur en ce qui concerne la continuité des activités pour les PME, une adoption hâtive, une mauvaise hygiène de sécurité et une mauvaise configuration de l'environnement cloud ont entraîné de graves failles de sécurité et invité les pirates à compromettre le réseau et les données. Il est désormais plus difficile qu'auparavant pour les PME de s'assurer que seules les bonnes personnes ont accès aux bonnes ressources.
Prenez par exemple les applications SaaS (Software as a Service). Selon une étude récente 5., les PME de plus de 250 employés utilisent près de 100 applications SaaS différentes, tandis que celles de moins de 50 employés utilisent 25 à 50 applications différentes. Sans la mise en place de pratiques efficaces en matière de mots de passe, ces applications peuvent devenir des points d'entrée pour les pirates. Il est certainement difficile pour une personne de se souvenir de mots de passe "forts" pour chaque application qu'elle utilise ; elle peut plutôt créer des mots de passe faciles à retenir et les enregistrer dans des endroits comme un carnet, son application de prise de notes préférée ou une feuille de calcul. Pire encore, certains peuvent réutiliser le même mot de passe pour chaque application. La compromission d'un compte résidant derrière un mot de passe faible est tout ce dont un pirate a besoin pour s'introduire dans le réseau de l'entreprise.
Manque de personnel spécialisé en sécurité
La pénurie de personnel et de ressources est un vieux problème qui continue d'affecter la cybersécurité des PME. Le personnel informatique d'une PME est susceptible de jongler avec de multiples responsabilités. Une personne qui s'occupe des opérations informatiques telles que les sauvegardes peut également gérer les ordinateurs de bureau et les ordinateurs portables du personnel tout en assurant la cybersécurité. Lorsqu'elle doit passer la majeure partie de son temps à veiller à ce que le temps d'arrêt d'un système soit le plus court possible, il est difficile de se concentrer sur la sécurité.
Cependant, certaines entreprises gouvernementales et certains groupes de réflexion comprennent que les PME ne peuvent pas aborder la cybersécurité de la même manière que leurs homologues des entreprises et ont créé des directives spécifiques aux PME.
Lors d'un récent webinaire, nous avons passé en revue quatre de ces directives, notamment celles créées par la Commission fédérale des communications des États-Unis, le Centre national de cybersécurité du Royaume-Uni et le Centre Australien de cybersécurité. Nous avons décomposé les cyberattaques ciblant les PME, identifié les domaines communs sur lesquels les quatre directives demandent aux PME de se concentrer, et discuté des outils qui peuvent aider à mettre en œuvre les recommandations proposées.
Notes de bas de page
1 https://start.keeper.io/2019-ponemon-report
2 https://www.ustelecom.org/research/2021-cybersecurity-survey-critical-infrastructure-small-and-medium-sized-businesses/
3 https://www.malwarebytes.com/resources/files/2021/04/malwarebytes-smb-trust-confidence-2021.pdf
4 https://info.flexera.com/SLO-CM-REPORT-State-of-the-Cloud-2020
5 https://99firms.com/blog/saas-statistics/#gref