ETI et PME : comment prioriser

La médiatisation des cyberattaques laisse nombre d’entreprises dans la confusion. Se protéger, oui. Mais comment ? Pour l’opérateur de télécommunications Hub One, qui dispose de sa propre activité cybersécurité, ETI et PME peuvent s’inspirer des usages en vigueur au sein d’environnements complexes et critiques, comme les aéroports.

eti ET pme Les cyberattaques vont être plus violentes et plus répétées, reconnaissait le 30 août sur France Info, Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Quelques jours plus tard, la société de monitoring de crédit Equifax dévoilait avoir à son tour subi une attaque ayant potentiellement compromis les informations de 143 millions d’Américains. « Cette médiatisation amène une prise de conscience assez large, mais ce qui se cache derrière le terme flou de « cybersécurité » reste encore un mystère pour de nombreux dirigeants », estime David Boucher, directeur cybersécurité du groupe de services technologiques Hub One.

Les PME et les ETI notamment, plongées dans un plus grand désarroi que la plupart des grandes entreprises, sont courtisées depuis des années par les ténors du marché de la sécurité. « Les patrons les plus affûtés vont s’appuyer sur un cabinet d’audit et de conseil, qui va faire une analyse, des recommandations et… souvent s’en tenir là. Or, il y a un gouffre entre la définition d’une première PSSI et sa mise en œuvre opérationnelle cohérente », souligne l’expert. Gouffre que beaucoup d’entreprises de taille plus modeste ne franchissent pas, en préférant se procurer de façon opportuniste différentes solutions et logiciels de sécurité qui finiront par se superposer de façon inefficace.

« Pour les ETI et les PME, un arrêt d’activité est
une catastrophe sans équivalent »
David Boucher, directeur cybersécurité du groupe
de services technologiques Hub One

Pour David Boucher, la problématique reste la priorisation : « La cybersécurité n’est qu’une composante d’une question plus large, dont le point central est tout simplement la poursuite de l’activité de l’entreprise. Le vol et la confidentialité des données sont un problème. Mais, pour les ETI et les PME, un arrêt d’activité est une catastrophe sans équivalent ». Le spécialiste reconnaît que cette analyse a été forgée dans un « véritable laboratoire vivant » : les plateformes aéroportuaires du groupe ADP, dont Hub One est une filiale.

Le piratage dEquifax ce sont
143 millions
d’Américains qui sont concernés

« Dans cet environnement complexe et critique, on croise de multiples cas de figures qui poussent à penser autrement la sécurité et ses priorités », poursuit David Boucher. Et de prendre l’exemple d’un acteur du fret dont les activités reposent sur la Radio Tetra, un système de radio numérique mobile professionnel bidirectionnel. « Un prestataire, qui intervient auprès de cet acteur, doit percevoir cet état de fait grâce à sa fine compréhension du métier, même si ce n’est pas exprimé par l’entreprise »,  décrit l’expert. La seule source « radio » de l’organisation devient automatiquement un actif critique, autour de laquelle doit s’articuler toute sa stratégie de sécurité. « C’est historiquement un sujet de maintenance prédictive pour anticiper les pannes… devenu aujourd’hui un sujet de cybersécurité pour se mettre à l’abri d’une malveillance », résume-t-il. Dans tous les cas, le travail de priorisation est vital pour espérer se défendre efficacement.

Cette philosophie d’action est transposable à l’activité de toute PME. Une entreprise qui dépend d’un logiciel spécialisé pour que ses collaborateurs travaillent sur le terrain ? Même combat. « Harmoniser sa stratégie, en lien avec son activité, c’est être capable d’avoir une approche de bout en bout autour de ce que l’on a décrit comme critique », poursuit encore David Boucher, pour qui les entreprises de taille modeste doivent privilégier un interlocuteur unique, agnostique technologiquement et capable de prouver son intérêt pour les spécificités métiers de l’entreprise.

Cette proximité au quotidien vaut plus aux yeux du spécialiste qu’une promesse illusoire du « zéro risque », impossible à tenir. La priorité doit être de réduire la surface d’attaque. « Les militaires utilisent depuis longtemps le concept de mécanismes de défense en profondeur, où chaque ligne de défense est indépendante des autres pour plus d’efficacité, si l’une devait tomber. Cela veut dire que la technologie est une toute petite partie de l’équation, au côté de l’éveil à de nouveaux usages pour les collaborateurs et aux facteurs purement organisationnels », conclut-il. Une prise de conscience plus urgente encore que celle de la virulence des menaces actuelles.