Cybersécurité : les ETI en peine de stratégie

Face au risque cyber, les ETI françaises ont des questions… et des « réponses partielles ».

Bessé et PwC établissent ce constat sur la base d’une étude conjointe menée auprès de 432 entreprises et additionnée de 50 témoignages de dirigeants (présidents, DG, membres des comités de direction).

Les deux cabinets – dont le premier est spécialisé dans le conseil en assurance – soulignent que la prise en compte des menaces s’avère « beaucoup plus contrastée que pour les grands groupes ».

Lorsqu’une stratégie est mise en place, celle-ci manque souvent de structuration et de transversalité.

En plus d’être peu nombreuses à disposer d’une cartographie des vulnérabilités, rares sont les ETI à avoir établi une procédure précise et écrite pour l’identification et l’analyse des alertes.

Ces dernières remontent par ailleurs peu fréquemment à la direction générale, qui tend à s’en remettre à la DSI, en n’impliquant généralement pas les fonctions métiers*.

Parmi les entreprises sondées, 49 % affirment avoir mis en place une stratégie de cybersécurité. Mais la définition qu’elles en donnent varie fortement, du système de gestion des incidents à la simple charte affichée sur un mur. Si bien que dans la pratique, seuls 37 % des répondants se disent prêts à gérer un incident avec des processus efficaces.

Signaux faibles

Le taux n’est pas plus élevé (35 %) pour ce qui est des études du niveau de sécurité des systèmes d’information. Et lorsque celles-ci sont effectivement conduites, elles sont loin d’apporter systématiquement des éléments correctifs, que ce soit lié au manque de compréhension des enjeux ou aux coûts induits.

Au-delà de la difficulté à identifier les conséquences financières potentielles, Bessé et PwC pointent une « vision parcellaire limitée à ce qui est facilement identifiable ou visible ».

Dans le domaine, les ETI ont tendance à cerner la menace externe, mais à sous-estimer leurs vulnérabilités internes (identifiées par 32 % des répondants comme venant des fournisseurs, consultants et contractants ; à 30 %, des employés ; à 18 %, des partenaires ; à 12 %, des clients).

Bessé et PwC l’expliquent notamment par des dispositifs de détection « largement insuffisants » pour capter les signaux faibles. Mais aussi par une incapacité à traiter les menaces non connues (0-day) et les attaques spécialisées (de type social engineering).

Les deux firmes insistent sur la nécessité d’agir sans chercher à maîtriser parfaitement les risques cyber, plus difficilement quantifiables que les risques industriels. Quitte à imaginer des stratégies de conseil et de formation inspirées des interventions proposées aux cellules de crise, aux pilotes de chasse ou encore aux sportifs de l’extrême…

* 39 % des ETI disent avoir mis en place un pilotage transversal du risque cyber associant les fonctions finance, juridique, RH, opérationnelles, SI et RSSI. 32 % ont établi une procédure impliquant la direction générale.

Crédit photo : wocintechchat.com via Visualhunt / CC BY