Ce paradoxe semble s'accrocher dans le secteur des PME : on sait que la sécurité informatique est un gros enjeu mais il n'y a pas les ressources humaines et financières nécessaires pour mettre en place des solutions de protection. Or, avec la recrudescence des cyberattaques dans ce secteur et la mise en place du RGPD, ces investissements risquent de bientôt devenir obligatoires.
Doit-on le rappeler ? Le RGPD est effectif depuis six mois et début janvier, pour les entreprises qui n'auront pas commencé à se mettre en conformité, les sanctions commenceront à tomber. Et selon une étude IFOP pour Kaspersky Lab et Euler Hermes, 45% des 702 décideurs au sein de PME françaises interrogés reconnaissent que leur entreprise n'a pas renforcé ses mesures de sécurité. Cette part s'élève à 52% lorsqu'il s'agit de PME comptant entre 150 et 249 employés.
Et ces entreprises ne semblent pas inquiètes de potentielles sanctions. Seuls 9% des répondants craignent le versement d'une ou plusieurs amendes. Le risque est pourtant bien réel, lorsque l'on sait qu'en 2018, la CNIL a enregistré près de 10 000 plaintes (dont 6 000 depuis le 25 mai et la mise en application du RGPD), soit 35% de plus qu'en 2017.
Les PME connaissent les ROI de la sécurité mais n'investissent pas
Et malgré les nouvelles contraintes réglementaires, 77% des PME n'ont pas réalisé d'audit informatique en 2018. Et ce taux atteint même 82% dans le secteur des services qui est pourtant celui qui traite le plus de données personnelles clients (48% contre 43% en moyenne). Pire ? Une entreprise sur cinq ne sait toujours pas si elle traite des données personnelles. « Pour la survie d'une PME, la cybersécurité est essentielle, car les menaces sont omniprésentes : faux sites Web, logiciels malveillants, rançongiciels, réseaux et bornes Wi-Fi non sécurisés, voire équipements professionnels perdus ou volés, d'autant plus avec le développement du Bring Your Own Device (BYOD) au sein des entreprises » rappelle Tanguy de Coatpont, DG France et Afrique du Nord, Kaspersky Lab. « Mettant l'accent sur leur développement et sur leurs occupations quotidiennes, les PME n'accordent pas toujours la priorité à la prévention de ces attaques. Pourtant, un seul incident peut entraîner d'énormes coûts financiers, mais aussi la perte de confiance des partenaires et des clients, si ce n'est signer la fin de son activité, dans le cas où ses opérations seraient perturbées ou arrêtées. »
Malgré ces retards en matière de sécurité, 76% des entreprises consultées reconnaissent que la sécurité informatique est un réel sujet d'inquiétude. Et le paradoxe réside dans le fait que les responsables de PME ont conscience des ROI offerts par l'installation de solution de protection efficaces. La cybersécurité arrive en deuxième position (39%) des technologies qu'ils identifient comme porteuses d'opportunités d'ici les deux prochaines années, derrière le big data mais devant le cloud. Mais seules 19% de ces entreprises ont déjà prévus des investissements.
Une sensibilisation par le gouvernement
Les PME deviennent, en plus, une cible prioritaire pour les cybercriminels. Au cours de la dernière année, 21% d'entre elles ont été victimes d'une cyber-attaque. La plupart du temps, le coût de ces attaques ne dépasse pas les 10 000 € (64%), bien qu'il soit parfois beaucoup plus élevé. 14% des répondants admettent que les attaques leur ont coûté plus de 51 000 €, et même plus de 100 000 € pour 6% d'entre eux.
Pour remédier à ces problèmes de méconnaissances des enjeux de sécurité, le gouvernement a mis en place, l'année dernière, la plateforme cybermalveillance.gouv.fr, également destinée à la sensibilisation des publics vulnérables, dont les PME. En octobre dernier, le secrétaire d'Etat au numérique, Mounir Mahjoubi, a aussi annoncé un plan à destination de 2 millions de TPE/PME afin de diffuser les bonnes pratiques en matière de sécurité informatique.
Suivez-nous