Go to content

Etat des lieux de la cybersécurité des TPE-PME

L’objectif du volet cybersécurité de France Relance est de renforcer la sécurité des administrations, des collectivités, des établissements de santé et des organismes publics. L’initiative est exemplaire, mais gardons à l’esprit que « nous oublions » une catégorie d’organisation. Je m’explique :

  • Le plan France Relance du gouvernement est en route, la sécurisation des organismes publics est en marche.
  • Une partie des organisations dites opérateurs d’importance vitale (OIV) [1] et opérateurs de services essentiels (OSE) [2] sont protégées (ou doivent se protéger ?) en respectant un arsenal législatif à l’échelle européenne et nationale (loi de programmation militaire (LPM) [3] , directive Network and Information System Security (NIS) [4] , etc.).
  • Les grandes entreprises, et parfois certaines ETI, ont gagné assez de maturité (surement via des ressources humaines compétentes) et ont entamé un processus d’amélioration de la cybersécurité.
  • Il nous reste les TPE-PME qui, surement du fait de l’impact causé par les organisations précitées, n’ont pas accès aux ressources (pénurie oblige) permettant de renforcer leur cybersécurité. Le rapport de la commission des entreprises du Sénat [5] est explicite « ce handicap est particulièrement aggravé pour les TPE-PME pour lesquelles la ressource humaine devient pratiquement inaccessible. Au déficit de compétences en cybersécurité s’ajoute le fait que les entreprises ne mesurent pas à sa juste valeur l’intérêt de sécuriser l’information. »

La cybersécurité des TPE-PME est un vaste sujet sur lequel nous pourrions échanger pendant des heures en utilisant des constats (factuels) sans forcément trouver des solutions existantes et adaptées.

Le rapport d’information n°678 du Sénat est clair sur le sujet lié à la croissance des cyberattaques et de leurs impacts :

  • « 43% des PME ont constaté un incident de cybersécurité en 2020 »
  • « 16% des cyberattaques menacent la survie d’une entreprise en 2020 »

Dans ce rapport, la commission des entreprises du Sénat émet 22 propositions permettant d’améliorer, notamment en s’appuyant sur la présidence prochaine de la France à la Commission européenne, la cybersécurité des entreprises françaises. Les propositions tournent autour de solutions aussi bien méthodologiques et techniques que législatives, en voici les trois axes :

  • Tester et renforcer la résistance et la cyber résilience des entreprises
  • Alerter, conseiller, former sur le péril cyber
  • Protéger les ETI, PME et TPE par des outils adaptés

Ces 22 propositions sont tout à fait honorables et applicables aux entreprises françaises, non sans mal, certes, mais elles semblent essentielles afin de renforcer leur niveau de cybersécurité. Une des propositions me permet de recentrer le sujet sur « la cybersécurité des petites et moyennes entreprises », et nous partageons avec la commission des entreprises du Sénat une vision qui est de proposer des solutions simples (compréhensibles) et efficaces (amélioration de la cyberdéfense).

Nous avons souhaité mettre en avant l’ensemble des propositions reposant sur cet axe de réflexion à travers une offre de service nommé « État des lieux de la cybersécurité » à destination des TPE-PME. Notre proposons cette offre comme une solution permettant d’enclencher le processus d’amélioration de la cybersécurité des petites et moyennes entreprises au travers de moyens adaptés à ses structures tout en gardant à l’esprit que cela doit être simple et efficace.

L’offre de CONIX est inspirée de plusieurs méthodes que nous connaissons tous, dont l’analyse de risques, l’audit d’architecture, l’audit de configuration et l’audit organisationnel. Nous ajoutons à cela une évaluation de la conformité à la politique d’assurance ou une évaluation de la couverture d’assurance afin de renforcer l’efficacité des dispositifs d’assurances au regard des structures en question.

Cet ensemble est une démarche complète permettant de déterminer un état des lieux de la cybersécurité (un « niveau » à un instant « T ») qui propose un plan d’action afin de développer et déployer plus largement les capacités de cyberdéfense.

La démarche s’adapte à chaque organisation et une des clés de réussite de celle-ci réside dans la première étape, héritée des approches globalisées tout en restant adaptée à la taille et à la maturité de l’organisation : comprendre les enjeux métiers et l’utilisation que la structure fait de son système d’information. Cette étape nous permet de définir un parcours spécifique en cohérence avec les menaces reposant sur l’organisation. Vous n’êtes pas sans savoir que cette étape est similaire à l’atelier n°1 de la méthode EBIOS RM ayant pour but « de définir le cadre de l’étude, son périmètre métier et technique, les événements redoutés associés et le socle de sécurité. » [6].

Nous avons adapté plusieurs méthodes à une démarche forfaitaire avec un engagement de résultat aussi bien sur l’état des lieux que sur l’accompagnement dans le temps. Il était évident que ces structures doivent être accompagnées sur un espace-temps incompressible qui est, à minima, celui de la mise en œuvre du plan d’action. Nous pouvons imaginer le plan d’action pour une PME avec une faible maturité en termes de cybersécurité… l’objectif n’est pas de dire qu’il faudrait avoir un système d’information homologué secret défense avec un plan d’action digne d’un projet de conformité complexe et inadapté, mais plutôt de définir un plan d’action appliqué et applicable au terrain et surtout permettant d’identifier les remédiations essentielles afin de renforcer la sécurité du système d’information.

En résumé, nous essayons de trouver un nouvel arsenal permettant d’enclencher les sujets liés à la cybersécurité des TPE et PME via une offre intégrant les standards du domaine en les ajustant à ces structures :

  • Une offre « État des lieux de la cybersécurité » composée de trois volets permettant d’avoir des conclusions et un plan d’action compréhensible et adapté
  • Un forfait (mais également une tarification) adapté aux PME qui propose à la fois un engagement de résultat et un coût unique prédéfini
  • En livraison, une projection de l’état des lieux à l’instant « T » et à la cible selon l’application du plan d’action que nous proposerons
  • Un accompagnement sur le long terme via ce plan d’action avec des unités d’œuvre forfaitaire déterminées dès la restitution et/ou une proposition d’une assistance technique. L’ensemble sera présent dans un catalogue de service défini dès la restitution de l’état des lieux.

Enfin, s’agissant de l’adaptation de l’offre, notre retour d’expérience nous a aussi permis de définir une organisation permettant à la structure d’avoir un interlocuteur unique (évidemment sachant du domaine) afin de réaliser l’état des lieux, mais aussi l’accompagnement dans le temps. L’interlocuteur unique est un moyen garantissant une aide à la TPE-PME dans la simplification des échanges. Il n’est pas convenable, pour une petite structure, d’avoir une multitude d’interlocuteurs sur des savoir-faire différents. L’objectif est de permettre à la structure d’identifier une personne et cela, peu importe le sujet ou le porteur de la réalisation.

L’offre évolue selon les remontées de nos partenaires et nous pourrons d’ici le FIC 2022 (Forum International de la Cybersécurité) [7] faire un premier retour d’expérience sur cette méthode non révolutionnaire, mais adaptée à ses structures. Pour le moment, nous pouvons mettre en avant quelques chiffres suite aux différentes missions effectuées :

  • 100% des missions réalisées ont abouti à un accompagnement dans le temps ;
  • 68% des missions ont abouti à un accompagnement sous la forme d’un pilotage de la stratégie cybersécurité de la structure ;
  • 32% des missions ont abouti à un accompagnement technique incluant de la remédiation et de l’intégration.

[1] https://www.ssi.gouv.fr/entreprise/protection-des-oiv/protection-des-oiv-en-france/

[2] https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/nis-un-dispositif-de-cybersecurite-pour-les-operateurs-de-service-essentiel/

[3] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037192797

[4] http://data.europa.eu/eli/dir/2016/1148/oj

[5] http://www.senat.fr/rap/r20-678/r20-6781.pdf

[6] https://www.ssi.gouv.fr/guide/la-methode-ebios-risk-manager-le-guide/

[7] https://www.forum-fic.com