Cybersécurité : y a-t-il un responsable dans les PME ?

Quand bien même elles en saisissent globalement les enjeux, les petites et moyennes entreprises font de la sécurité informatique une question secondaire.

Ce constat ressort d’une étude – document PDF, 27 pages – que Kaspersky Lab a menée à l’échelle de 29 pays, en interrogeant 3 041 salariés de l’IT au sein de TPE.

L’éditeur américain s’est plus particulièrement intéressé au cloud, dont 50 % des TPE (définies comme les sociétés de moins de 50 employés) et 65 % des PME (de 50 à 249 collaborateurs) ont « adopté une certaine forme ».

Sa conclusion sur ce volet est la même que celle établie dernièrement par Proofpoint dans l’édition 2018 de son rapport « Le facteur humain » ou encore par Gemalto dans le cadre de son projet Breach Level Index : la surface d’attaque s’élargit d’autant plus que l’infrastructure devient hétérogène.

45 % des sondés affirment connaître des difficultés à assurer la sécurité sur l’ensemble du périmètre. Il faut dire que les ressources sont parfois limitées, notamment au niveau du personnel : 32 % des TPE et 14 % des PME confient la gestion de la cybersécurité à des salariés internes non spécialisés. La fonction n’existe tout simplement pas pour 11 % des premières et 2 % des secondes.

Lorsqu’elle est gérée, la cybersécurité l’est souvent par l’IT (58 % des TPE ; 54 % des PME), sans faire l’objet d’un poste différencié. Son externalisation reste peu développée (27 % des TPE ; 33 % des PME) et se fait essentiellement chez des prestataires d’assistance informatique.

Pour ce qui est des applications et services cloud, les TPE ont tendance à en attribuer la responsabilité aux fournisseurs, au contraire des PME. Pour les unes comme pour les autres, les risques cyber se placent au troisième rang dans la hiérarchie des défis, derrière la confidentialité des données (« effet RGPD », estime Kaspersky) et les risques financiers.

Crédit photo : wocintechchat.com via Visualhunt / CC BY