Améliorer la cybersécurité de sa TPE PME : comment s’y prendre ?
Comment s’y prendre pour identifier les mesures de sécurité ?
Cette étape d’identification des mesures de sécurité peut éventuellement se faire en interne dans les cas simples, si l’entreprise dispose d’un peu de compétence en sécurité ou en informatique.
Dans les cas un peu plus complexes, l’intervention d’un professionnel sera précieuse pour que les mesures identifiées soient homogènes, cohérentes entre elles et avec le risque à traiter. Là encore, pour une PME, l’analyse ne nécessite généralement que très peu de jours d’intervention de la part d’un professionnel. Pour les cas les plus simples elle peut même se faire en quelques heures sous la forme d’une démarche de coaching.
Mettre en œuvre le plan de sécurisation cyber
Les dirigeants craignent souvent que les coûts d’un plan de sécurisation soient élevés, sans espoir de retour sur investissement. En fait, comme on peut le voir à la lumière des quelques exemples mentionnés ci-dessus, les coûts sont généralement faibles. Par exemple, il est possible de sécuriser un poste de travail pour quelques euros par mois, voire quelques dizaines d’euros si l’on déploie des mesures de sécurité ambitieuses, s’appuyant sur du service managé.
Bien sûr le temps (et donc le coût) nécessaire au déploiement et au pilotage du plan de sécurisation n’est pas négligeable. Mais le retour sur investissement, mesuré par le coût des sinistres statistiquement évités, peut être considéré comme globalement rapide au vu des conséquences que peut avoir une cyberattaque.
Comment s’y prendre pour mettre en place le plan de sécurisation ?
Le porteur du projet de sécurisation cyber de la TPE PME doit assembler et prioriser les mesures identifiées dans un plan de sécurisation qui liste les actions à mettre en place et identifie pour chaque action, le(s) responsable(s) et les équipes impliquées, ainsi que le calendrier de déploiement.
Il est essentiel que le suivi du plan de sécurisation et son pilotage dans la durée soient assurés par le dirigeant lui-même. L’implication du dirigeant est essentielle afin que le plan soit effectivement mis en œuvre et ne s’ensable pas dans la vie de l’entreprise.
Cette étape de mise en œuvre du plan de sécurisation se fait souvent en interne, en liaison avec les personnes en charge de l’informatique en interne ou les prestataires informatique de l’entreprise.
Bien sûr, pour les cas un peu plus complexes, l’intervention d’un professionnel pourra être précieuse pour apporter une vue globale qui aille au-delà des aspects strictement informatiques. En effet, d’autres aspects liées à la gouvernance, aux processus, aux ressources humaines ou aux contrats, ont un impact sur la sécurité. C’est par exemple le cas quand des escrocs exploitent des failles dans l’organisation de l’entreprise pour réaliser des fraudes aux virements.
Le conseil de l’expert
Tout dirigeant de TPE PME doit s’interroger sur la sécurité cyber de son entreprise et se poser quelques questions simples :
- mes données ont-elles de la valeur ?
- ai-je des inquiétudes quant à leur niveau de protection numérique ?
- leur disparition ou leur divulgation aurait-elle de graves conséquences pour mon entreprise ?
- sans outils numériques mon entreprise pourrait-elle continuer à son activité ?
- quel serait le préjudice d’une interruption d’activité d’origine cyber pour mon entreprise ?
Répondre à ces questions conduit généralement à prendre conscience de la nécessité de renforcer sa posture cyber. Cela passe par le fait de connaître les risques qui pèsent sur votre TPE PME, à identifier les quelques mesures de sécurisation indispensables qui doivent être mises en œuvre rapidement. Le plus souvent les démarches à effectuer sont simples, peu onéreuses et efficaces.
Dirigeant de TPE PME, lancez-vous ! Seul, avec vos moyens propres, ou bien avec l’aide d’un expert cyber qui vous accompagne. Améliorer votre posture cyber est indispensable à la pérennité de votre activité et la tranquillité de votre esprit.
Dossier réalisé par Yves Le Floch, Activateur France Num. Yves Le Floch Conseil accompagne les TPE PME dans la prise en compte de leurs risques numériques propres et le renforcement de leur cybersécurité.
.