Face au risque cyber, les ETI françaises ont des questions… et des « réponses partielles ».
Bessé et PwC établissent ce constat sur la base d’une étude conjointe menée auprès de 432 entreprises et additionnée de 50 témoignages de dirigeants (présidents, DG, membres des comités de direction).
Les deux cabinets – dont le premier est spécialisé dans le conseil en assurance – soulignent que la prise en compte des menaces s’avère « beaucoup plus contrastée que pour les grands groupes ».
Lorsqu’une stratégie est mise en place, celle-ci manque souvent de structuration et de transversalité.
En plus d’être peu nombreuses à disposer d’une cartographie des vulnérabilités, rares sont les ETI à avoir établi une procédure précise et écrite pour l’identification et l’analyse des alertes.
Ces dernières remontent par ailleurs peu fréquemment à la direction générale, qui tend à s’en remettre à la DSI, en n’impliquant généralement pas les fonctions métiers*.
Parmi les entreprises sondées, 49 % affirment avoir mis en place une stratégie de cybersécurité. Mais la définition qu’elles en donnent varie fortement, du système de gestion des incidents à la simple charte affichée sur un mur. Si bien que dans la pratique, seuls 37 % des répondants se disent prêts à gérer un incident avec des processus efficaces.
Le taux n’est pas plus élevé (35 %) pour ce qui est des études du niveau de sécurité des systèmes d’information. Et lorsque celles-ci sont effectivement conduites, elles sont loin d’apporter systématiquement des éléments correctifs, que ce soit lié au manque de compréhension des enjeux ou aux coûts induits.
Au-delà de la difficulté à identifier les conséquences financières potentielles, Bessé et PwC pointent une « vision parcellaire limitée à ce qui est facilement identifiable ou visible ».
Bessé et PwC l’expliquent notamment par des dispositifs de détection « largement insuffisants » pour capter les signaux faibles. Mais aussi par une incapacité à traiter les menaces non connues (0-day) et les attaques spécialisées (de type social engineering).
Les deux firmes insistent sur la nécessité d’agir sans chercher à maîtriser parfaitement les risques cyber, plus difficilement quantifiables que les risques industriels. Quitte à imaginer des stratégies de conseil et de formation inspirées des interventions proposées aux cellules de crise, aux pilotes de chasse ou encore aux sportifs de l’extrême…
* 39 % des ETI disent avoir mis en place un pilotage transversal du risque cyber associant les fonctions finance, juridique, RH, opérationnelles, SI et RSSI. 32 % ont établi une procédure impliquant la direction générale.
Crédit photo : wocintechchat.com via Visualhunt / CC BY
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…