La cybersécurité dans les PME laisse à désirer

Les détections de menaces sont en hausse. Face à cela, le déficit croissant de compétences en cybersécurité pose un gros problème, selon une étude, notamment dans les PME. Analyse et chiffres.

L‘éditeur ESET a récemment interrogé plus de 700 PME, tous secteurs confondus, pour mesurer leur capacité à détecter et à répondre aux dernières menaces informatiques. Les résultats sont assez interpellant, tant les différences sont flagrantes.

Les chiffres (2023)

Plus d’un quart des PME (26 %) dans les secteurs commerciaux et professionnels n’ont pas ou peu confiance dans leur expertise interne en cybersécurité. Un peu moins d’un tiers (31 %) a peu confiance dans la connaissance de leurs équipes concernant les dernières menaces. Un tiers (33 %) pense qu’ils auraient du mal à déterminer la vraie cause d’une attaque.

Certaines sociétés se reposent des compétences internes, d’autres préfèrent sous-traiter la cybersécurité.

Près de 4 PME sur 10 (38 %) dans la vente et les services gèrent la sécurité en interne, un peu plus que la moyenne des PME (34 %). Plus de la moitié (54%) préfère l’externaliser. Mais 8 % supplémentaires envisagent d’externaliser leur sécurité dans les 12 mois à venir. 26 % préfèrent sous-traiter à un seul fournisseur de sécurité et 40 % à plusieurs fournisseurs.

Dans les services financiers, près de 3 PME sur 10 (29 %) n’ont pas ou peu confiance dans leur expertise interne en matière de cybersécurité. 33 % des PME manufacturières et industrielles n’ont pas ou peu confiance dans l’expertise interne en cybersécurité. Quatre PME sur cinq (80 %) du commerce de détail, de gros et de la distribution ont une confiance modérée ou élevée dans leur expertise interne en sécurité, le nombre le plus élevé de tous.

Environ 3 PME sur 10 (31 %) du commerce de détail, de gros et de distribution préfèrent conserver la gestion sécuritaire en interne. Le même nombre préfère sous-traiter à un seul fournisseur de sécurité, et 28 % à plusieurs fournisseurs.

Les plus étonnant ? Un quart (25 %) des PME en technologie et télécoms n’ont pas ou peu confiance en leur expertise interne en matière de cybersécurité. Plus de PME du secteur (78 %) ont, plus que toutes autres, une confiance modérée ou élevée dans la compréhension par leurs employés des menaces sécuritaires. 77 % ont également confiance dans leur capacité à déterminer la vraie cause lors d’attaques. Plus de PME dans ce secteur (37 %) que la moyenne des PME (34 %) gèrent leur cybersécurité en interne. Elles sont plus nombreuses à l’externaliser que les commerces de détail (58 % contre 53 %).

Gestion de la sécurité

Les PME représentent aujourd’hui encore la majorité des entreprises en Euroe et aux USA. La sécurité est donc une top priorité.

Problème soulevé par l’enquête : les PME gèrent souvent leur cybersécurité entièrement en interne et peuvent avoir un sentiment de sécurité démesuré. Si la gestion interne est poursuivie, des audits réguliers par des tiers sont recommandés, ainsi que la création et des mises à jour régulières des politiques de sécurité.

32 % des PME interrogées déclarant utiliser la détection et la réponse aux terminaux (EDR), XDR ou MDR, et 33 % prévoient d’exploiter la technologie dans les 12 prochains mois. Une majorité de PME en technologie et télécom (69 %), la fabrication et l’industrie (67 %), et les services financiers (74 %) préfèrent externaliser leur sécurité.

L’étude peut être consultée en anglais à cette adresse (en PDF).