Avec le nombre de menaces détectées qui ne cesse d’augmenter, le manque croissant de compétences de cybersécurité expose les entreprises à des risques cyber. C’est un problème particulièrement ressenti par les PME qui sont obligées de limiter leurs dépenses en raison du climat économique actuel.
C’est dans cette optique que nous avons récemment interrogé plus de 700 PME de différents secteurs, afin d’évaluer leur capacité à détecter les toutes dernières cybermenaces et les traiter. Les différences sont flagrantes. Alors que certains secteurs ont une grande confiance dans leurs compétences de cybersécurité internes, d’autres préfèrent confier une grande partie de la cybersécurité à un expert externe pour assurer leur protection.
Examinons chaque secteur en détail :
- Services aux entreprises et services professionnels
Les données suggèrent que plus d’un quart (26 %) des PME de services aux entreprises et de services professionnels n’ont que peu ou pas de confiance dans leur expertise de cybersécurité interne. Un peu moins d’un tiers (31 %) n’ont pas confiance dans la compréhension des toutes dernières menaces par leurs équipes. Un tiers (33 %) estiment par ailleurs qu’il leur serait difficile de déterminer la cause profonde d’une cyberattaque.
Près de 4 PME sur 10 (38 %) de la catégorie des services aux entreprises et des services professionnels administrent leur sécurité en interne, soit un peu plus que la moyenne des PME (34 %). Un peu plus de la moitié (54 %) préfèrent l’externaliser, et 8 % de PME en plus envisagent d’externaliser leur cybersécurité au cours des 12 prochains mois.
Seulement 24 % des PME du secteur des services aux entreprises et des services professionnels préfèrent conserver l’administration de leur sécurité en interne, ce qui est le taux le plus bas de tous les secteurs étudiés. Un peu plus d’un quart (26 %) préfèrent confier leur sécurité à un seul prestataire et 40 % à plusieurs.
- Services financiers
Près de 3 PME sur 10 (29 %) opérant dans le secteur des services financiers n’ont qu’une confiance limitée, voire nulle, dans leurs compétences de cybersécurité internes. Elles sont encore plus nombreuses (36 %) à ne pas avoir confiance dans la compréhension des menaces par leurs équipes. Cependant, seulement 26 % des PME du secteur des services financiers estiment qu’elles auraient des difficultés à déterminer la cause profonde d’une cyberattaque, soit moins que la moyenne des PME (29 %).
Seulement 28 % des PME du secteur des services financiers administrent leur sécurité en interne, ce qui est le taux le plus bas de tous les secteurs étudiés. Au contraire, près des deux tiers (65 %) l’externalisent, soit bien plus que la moyenne des PME (59 %).
Un peu plus d’un quart (26 %) des PME du secteur des services financiers préfèrent conserver l’administration de la sécurité en interne. Le même nombre d’entreprises préfèrent confier leur sécurité à un seul prestataire, tandis que 39 % préfèrent la confier à plusieurs.
- Industrie et fabrication
Un tiers (33 %) des PME du secteur de l’industrie de la fabrication n’ont que peu ou pas confiance dans leurs compétences de cybersécurité internes, soit bien plus que la moyenne des PME (25 %). Quatre entreprises sur dix (40 %) ont peu ou pas confiance dans la compréhension des menaces par leurs équipes, ce qui est plus que dans tout autre secteur. Pourtant, seules 29 % d’entre elles craignent d’avoir des difficultés à déterminer la cause profonde d’une cyberattaque si le pire devait se produire.
Seulement 3 PME du secteur de l’industrie et de la fabrication sur 10 (30 %) administrent leur sécurité en interne. Plus de deux fois plus d’entreprises (63 %) préfèrent externaliser leur sécurité, ce qui représente le deuxième taux le plus élevé de tous les secteurs.
Un tiers (33 %) des PME du secteur de l’industrie et de la fabrication préfèrent conserver l’administration de leur cybersécurité en interne, ce qui est le taux le plus élevé de tous les secteurs. Seules 24 % préfèrent s’adresser à un seul prestataire de sécurité, et 35 % à plusieurs.
- Commerce de détail, de gros et distribution
Quatre PME sur cinq (80 %) du secteur du commerce de détail, de gros et de la distribution ont une confiance moyenne ou élevée dans leurs compétences de cybersécurité internes, ce qui est le taux le plus élevé de tous les secteurs. La confiance dans l’expertise de l’équipe informatique est donc bien plus élevée que dans le secteur manufacturier (67 %). Les trois quarts (74 %) des PME du secteur du commerce de détail, de gros et de la distribution ont également une confiance moyenne ou élevée dans la compréhension des menaces par leurs équipes, contre seulement 64 % des PME du secteur des services financiers. De même, les PME du commerce de détail, de gros et de la distribution sont les plus nombreuses (79 %) à avoir confiance dans leur capacité à déterminer la cause profonde d’une attaque.
Plus de 4 PME sur 10 (41 %) du secteur du commerce de détail, de gros et de la distribution administrent leur cybersécurité en interne, ce qui est le taux le plus élevé de tous les secteurs. Pour cette raison, seules 53 % d’entre elles externalisent actuellement leur sécurité. Toutefois, 6 % d’entre elles envisagent de le faire au cours de l’année à venir.
Environ 3 PME sur 10 (31 %) du secteur du commerce de détail, de gros et de la distribution préfèrent conserver l’administration de leur sécurité en interne. Le même nombre d’entreprises préfèrent confier leur sécurité à un seul prestataire, tandis que 28 % d’entre elles font appel à plusieurs.
- Technologies et télécommunications
Un quart (25 %) des PME du secteur des technologies et des télécommunications n’ont qu’une confiance limitée, voire nulle, dans leurs compétences de cybersécurité internes. Toutefois, les PME de ce secteur sont les plus nombreuses (78 %) à avoir une confiance moyenne ou élevée dans la compréhension des menaces par leurs équipes. Plus des trois quarts (77 %) ont également confiance dans leur capacité à déterminer la cause profonde d’une attaque.
Il n’est peut-être pas surprenant que les PME du secteur des technologies et des télécommunications soient plus nombreuses (37 %) à gérer leur cybersécurité en interne que la moyenne des PME (34 %). Toutefois, les entreprises qui externalisent leur sécurité sont plus nombreuses que les entreprises de vente au détail (58 % contre 53 %).
Trois PME sur dix (31 %) du secteur des technologies et des télécommunications préfèrent conserver l’administration de la sécurité en interne. En revanche, 23 % préfèrent externaliser auprès d’un seul prestataire et 36 % auprès de plusieurs.
Un faux sentiment de sécurité ?
Si les PME de certains secteurs ont un niveau de confiance plus élevé et des approches différentes de l’administration de leur cybersécurité que d’autres, elles administrent souvent leur cybersécurité entièrement en interne et peuvent donc avoir un sentiment de sécurité surdimensionné. Dans le cas de l’administration en interne, il est recommandé de procéder régulièrement à des audits de sécurité par des tiers, puis élaborer des politiques de sécurité et les mettre à jour régulièrement.
Le rapport d’ESET sur le sentiment de cybersécurité des PME en 2022 envoie un message clair sur les besoins croissants des PME. En effet, 32 % des PME interrogées déclarent utiliser des systèmes de détection et de traitement pour les endpoints (EDR), de XDR ou de MDR et 33 % prévoient de recourir à ces technologies au cours des 12 prochains mois. Avec une majorité de PME dans les secteurs des technologies et des télécommunications (69 %), de la fabrication et de l’industrie (67 %), et des services financiers (74 %) qui préfèrent externaliser leur cybersécurité, une question qui reste en suspens dans cette enquête est la suivante : Quels types d’entreprises dans ces secteurs accordent la priorité à l’administration en interne, et quelles sont leurs raisons spécifiques ?
Pour aller plus loin, vous trouverez ici et en anglais le rapport complet d’ESET sur le sentiment de cybersécurité des PME en 2022.
