Les PME face aux enjeux de Cybersécurité : mêmes Défis que les Grandes Entreprises, moins de Moyens !

1. Dans un monde où les cybermenaces ne cessent de croître, les Petites et Moyennes Entreprises (PME) font face à des défis similaires à ceux des multinationales. Cependant, elles disposent de moyens financiers et humains bien plus limités pour y répondre

Quelques chiffres pour illustrer ces différences : 

  • De 4 à 10 % du budget IT pour les entreprises de moins de 100 employés sont alloués à la Sécurité
  • 8 à 15 % du budget IT pour les entreprises comptant entre 100 et 1'000 employés sont alloués à la Sécurité
  • 10 à 20 % du budget IT pour les grandes entreprises de plus de 1'000 employés sont alloués à la Sécurité

En prenant une médiane du budget IT des entreprises (soit 4% du chiffre d’affaires) : une PME réalisant un chiffre d'affaires de 10 millions CHF pourra consacrer environ 28'000 CHF à la cybersécurité, contre 460'000 CHF pour une entreprise réalisant 100 millions CHF et 6 millions CHF pour un milliard de CHF. Ces écarts de budget illustrent les défis particuliers auxquels les PME doivent faire face.

Avec un tel budget les PME doivent couvrir quatre types de dépenses.

Les ressources

  • CISO (Chief Information Security Officer) : Responsable de l'élaboration et de la mise en œuvre d’une stratégie de sécurité de l'information protégeant les données et les systèmes d'une organisation
  • CDO (Chief Data Officer) : Responsable de la définition de la stratégie de données d'une organisation ainsi que de sa mise en œuvre. Cela englobe la compréhension des données reçues, générée et transmises par l’entreprise, la garantie de la qualité de ces données, la création de valeur commerciale grâce à l'analyse et à l’exploitation de ces données mais aussi la mise en œuvre d’une gouvernance adaptée
  • SOC (Security Operations Center) : gestion opérationnelle de la sécurité soit la détection, l’analyse et la réponse aux incidents de sécurité

Les services nécessaires à la prévention, les opérations et éventuellement la gestion d’incidents

  • Formation
  • SIEM (Security Information & Events Mgt) : être informé des dernières menaces et de l’évolutions des risques
  • Audit, test de pénétration… 
  • CERT (Cybersecurity Events Response Team) : faire appel à des experts en renfort ou pour gérer les incidents majeurs
  • Forensic : découvrir, analyser et conserver des preuves numériques à la suite d'une cyberattaque dans le but de limiter les dommages, comprendre comment l'attaque s'est produite et prévenir de futurs incidents

Certification : audit, gestion des projets de certification, coût des certifications…

Les systèmes et outils : 

  • Logiciel : Anti-Virus, Gestion des terminaux, Gestion des Accès…
  • Infrastructure : Pare-feu, Système de détection des Intrusions…
  • Plateforme : Gestion des évènements de sécurité par exemple 

Les locaux

  • Securité physique des locaux
  • Contrôle d’accès adapté aux différentes activités de l’entreprise

Les Cybermenaces : une problématique bien connue, une pression en constante augmentation…La menace de cyberattaques, qu’il s’agisse de ransomware, de phishing ou d’intrusions, reste l’enjeu principal de cybersécurité pour toutes les entreprises. Ces attaques peuvent compromettre des données sensibles, perturber les activités, engendrer des pertes financières significatives, voir causer la bancroute d’une entreprise.

Gartner prévoit que les dépenses en cybersécurité devraient augmenter de 15 % en 2025, passant de 183,9 milliards de dollars à 212 milliards de dollars.

Comment les Petites et Moyennes Entreprises peuvent-elles se protéger efficacement tout en respectant leurs contraintes ? Quelle Stratégie cybersécurité efficace et abordable pour une PME ?

2. La Conformité et les Certifications : un enjeu stratégique moins reconnu mais crucial pour la compétitivité

Un enjeu moins visible mais tout aussi critique concerne les exigences croissantes en matière de conformité et de certifications. 

Ces obligations incluent :

  • Certifications standards internationales – de plus en plus demandées dans les appels d’offre : ISO 27001, PCI DSS..
  • Réglementations locales que les services de paiements : Rempart en France, AGID en Italie.
  • Protection des données : RGPD (ou LPD en Suisse)

Pourquoi ces exigences comptent-elles ?

La conformité ne concerne pas seulement l’évitement des amendes. Elle joue un rôle décisif dans :

  • La compétitivité : Des certifications comme ISO 27001 deviennent un standard attendu dans de nombreux appels d’offres.
  • La réputation : Une entreprise conforme inspire davantage confiance à ses clients et partenaires.
  • La préparation au futur : En adoptant des pratiques de conformité aujourd’hui, les entreprises se préparent aux régulations de demain.

3. Quel est la nature du défi pour le PME ?

Pour les PME, les exigences de Sécurité de de Conformités représentent un défi considérable en termes de ressources, d’organisation, de compétences internes, d’infrastructure et au final de coûts ! Et ce n’est pas qu’une question d’IT, c’est un défi global qui touche toutes les fonctions de l’entreprise :

  1. Organisation : qui est en charge, comment acquérir et maintenir les compétences, comment gérer les sujets de sécurité et de données dans l'entreprise (mise en place d’une « practice », lancement de projets, création d’une équipe dédiée...), quelle gouvernance...
  2. Infrastructure : le back-office ainsi que l'infrastructure métier sont concernés, comment mettre à jour et maintenir l'infrastructure de l'entreprise (à quel rythme, quel type d’investissement...)
  3. Fournisseurs (Cloud, SaaS, fournisseurs de services, fournisseurs de composants...) : sont-ils certifiés, comment gérer les évolutions imposées par mes fournisseurs, quel rôle jouent-ils dans la certification de mon entreprise, quels risques peuvent leur être transférés…
  4. Produits : développement de versions conformes des produits, migration de la base installée, comment répondre aux demandes spécifiques des clients 
  5. Data : inventorier les données gérées par l'entreprise, définir des politiques de gestion et de rétention conforme aux règlementations puis les mettre en œuvre

4. Solutions : une approche structurée, innovante et pragmatique pour répondre aux défis

Aucune Entreprise ne peut être parfaitement protégée : l’importance du Niveau de Maturité

Il est essentiel pour les PME (comme toutes les entreprises) de comprendre que la perfection et le zéro risque n’existe pas. La clé réside dans la définition d’un niveau de maturité à atteindre qui soit adapté à ses contraintes marché (compétitivité en particulier), financières, stratégiques et organisationnelles. Un niveau trop faible est un pari très risqué. A l’inverse, un niveau trop élevé impactera la compétitivité de l’entreprise (lancements produits retardés, manque de flexibilité pour s’adapter aux besoins des clients) mais aussi son équilibre financier (coûts démesurés).

S’organiser pour atteindre le niveau de maturité et de protection juste et gérer ses risques

Cinq étapes simples pour cela :

  1. Comprendre leur situation actuelle : Cartographier les risques, évaluer les forces et faiblesses des systèmes existants.
  2. Définir un niveau de maturité cible : Équilibrer les contraintes de coût, les exigences réglementaires et les objectifs stratégiques.
  3. Atteindre le niveau ciblé à court moyen et long-termes : Mettre en œuvre les actions prioritaires et plus stratégiques du point de vue techniques, organisationnel, processus et compétences
  4. Maintenir le niveau de maturité atteint : cela nécessite un travail de fond (mis à jour techniques, montées de version, formation, revue des incidents, audit…)
  5. Se Prépareraux incidents : la question n’est pas SI mais QUAND et il faut donc élaborer des plans de gestion de crise (y compris la communication) et préparer les équipes (formations, simulations…) pour minimiser l’impact des cyberattaques.

Atteindre ses objectifs avec des moyens limités

Les ressources qualifiées et compétentes sont rares et chères. Suivant la taille de votre entreprise, il n’est pas souvent justifié (et soutenable budgétairement) de créer des fonctions de CISO, CDO… à plein temps pour une PME. Enfin attirer des talents dans ces domaines peut s’avérer mission impossible pour une PME. En contrepartie, les offres de service et des sous-traitances de la sécurité sont de plus en plus nombreuses sur le marché. Mais comment faire le bon choix et ne pas mettre tous ces œufs dans le panier d’un fournisseur ?Les outils adaptés aux PME existent :

  • Faire appel à une société de conseil en entreprise réputée pour 1. Comprendre la situation et 2. Définir le niveau de maturité cible et aider à 3. l’Atteindre
  • Partager un.e CISO, un.e CDO entre deux ou trois PME pour 3. Atteindre le niveau de maturité ciblé et 4. Le Maintenir grâce au Management Fractionné (différent du Management de Transition / Interim Management puisqu’on vise ici un engagement à long-terme sur une fonction établie)
  • Sous-traiter à des fournisseurs de service adaptés les activités sur lesquelles les économies d’échelle sont importantes : gestion de l’infrastructure, SIEM…
  • Se former régulièrement et se préparer aux crises : y compris au travers de simulation d’attaque, des pertes de données (comment continuer à opérer ?)
  • Se faire accompagner d’experts (Conseil Stratégique, Accompagnement…) dans la mise en œuvre de cette transformation et pour prendre du recul à intervalles réguliers (revoir ses objectifs, analyser le marché pour savoir si le niveau de maturité visé reste le bon)

Les facteurs clés pour réussir

Pour relever les défis de la cybersécurité ainsi que de la conformité / certification avec succès, tout en maitrisant les coûts associés et en restant en contrôle, 4 facteurs sont clés

  1. Impliquer son organisation à tous les niveaux : sensibilisation, formation, communication 
  2. Mettre ces sujets sous la supervision directe du CEO / Direction Générale
  3. Gérer les ressources externes (CISO Factionné en particulier) comme s'il s'agissait d'une ressource interne : l’approche ne consiste pas à externaliser sa sécurité (« sous-traiter la résolution des problèmes ») mais de mettre en commun des moyens, des rester en maitrise, et de contrôler de la situation
  4. Choisir les bons prestataires de services (moins fournisseurs que partenaires)
  • Entreprises de taille comparable ou habituées à servir des clients aux profils similaires au votre
  • Mettre en œuvre des partenariats sur le long terme : on ne vise pas la bonne affaire mais un engagement durable et solide (avec des garantie)
  • S’assurer que les références sont solides, parler aux autres clients, comprendre les forces et faiblesses du partenaire
  • Rechercher une méthodologie éprouvée et un modèle réplicable : ne pas se fier à de l'expérience individuelle

Conclusion : confrontées aux Défis des Grandes Entreprises les PME peuvent gérer leurs risques et rester compétitives

Les PME font face aux mêmes défis que les grandes entreprises en matière de cybersécurité et de conformité, mais avec des ressources plus limitées. Pour rester compétitives, elles doivent se poser les bonnes questions : Quelle est ma situation actuelle ? Quel est le bon niveau de maturité à atteindre ? Quels outils (Fractional or Interim Management) et partenaires m’aideront à atteindre ces objectifs ? En répondant à ces questions, avec une approche pragmatique, et en mettant en œuvre de solutions adaptées (outils spécifiques, ressources partagées, partenariats), les PME peuvent non seulement se protéger efficacement avec les moyens dont elles disposent mais aussi transformer ces défis en un avantage compétitif.

L'ouverture du capital: l'avenir des plans d'incitations des entreprises
Entrepreneuriat

L'ouverture du capital: l'avenir des plans d'incitations des entreprises

Pour faire face au désengagement des employés et au manque de croissance, l'ouverture du capital ouvre sur d'autres horizons. Libérez le potentiel de vos équipes et propulsez votre entreprise vers de nouveaux sommets en partageant la valeur créée avec eux ! Découvrez les secrets d'une collaboration gagnante et laissez votre entreprise avoir un impact toujours plus positif sur l'écosystème.

Qu'est-ce que l'ouverture intrapreneurial du capital (OIDC)? Une introduction pour les PME suisses
Entrepreneuriat

Qu'est-ce que l'ouverture intrapreneurial du capital (OIDC)? Une introduction pour les PME suisses

L'ouverture intrapreneuriale du capital (OIDC) stimule l'écosystème en récompensant chaque partie prenante pour sa contribution à la création de valeur, encourageant ainsi un engagement accru et une croissance durable.

Un chef d'entreprise, ça doute énormément
S-Curve

Un chef d'entreprise, ça doute énormément

De doutes quant à l'avenir de votre entreprise ? Cet inconfort pourrait être votre meilleur allié. Diriger une entreprise n'est pas une mince affaire, et une évolution constante est essentielle. Alors que le paysage des affaires change plus rapidement que jamais, ce questionnement pourrait indiquer que vous êtes à l'aube d'un nouveau cycle de croissance.

Nous sommes à votre écoute.

Parlons de vos besoins et de la manière dont nouspouvons vous accompagner.
Contactez-nous