.jpg)
Dans un contexte de menaces croissantes pour la cybersécurité, les petites et moyennes entreprises (PME) se sont réveillées au risque que les ransomwares et les malwares représentent pour leur organisation. Beaucoup d'entre elles prennent des mesures supplémentaires pour se protéger contre les attaques, selon une nouvelle enquête réalisée par Datto, une société de Kaseya.
Dans son rapport annuel sur l'état des ransomware, près de 3000 professionnels de l'informatique dans des PME de huit pays ont pesé sur les mesures qu'ils prennent pour se protéger, de l'investissement dans plus de produits de sécurité à l'utilisation de plusieurs cadres de sécurité.
La principale conclusion est que les PME du monde entier investissent activement dans la cyberprotection. Alors qu'en moyenne, un cinquième du budget informatique est consacré à la sécurité, environ 4 entreprises sur 10 (42%) voient leur budget de sécurité augmenter et allouent des ressources supplémentaires.
La majorité d'entre elles ont mis en place des défenses de base – anti-virus et protection des emails – et étendent maintenant leur stratégie de sécurité à d'autres domaines.
Par exemple, près de la moitié (47%) des PME prévoient d'investir dans la sécurité du réseau au cours des 12 prochains mois, et 45% cherchent à ajouter la sécurité du cloud. Plus loin dans la liste des achats, on trouve des solutions de sécurité pour les outils de collaboration, la sécurité des points de terminaison et la continuité des activités et la reprise après sinistre (BCDR).
Si l'installation des bons outils est importante, les PME comprennent aussi de plus en plus la nécessité de surveiller de manière proactive leur posture de sécurité. Près de deux tiers (62%) effectuent des évaluations de vulnérabilité au moins deux fois par an, et plus d'un tiers (37%) les programment trois fois par an ou plus.
Le site Cadre du CIS est le cadre de cybersécurité le plus utilisé, avec 34% des répondants qui l'utilisent. Il est suivi par CMMC (30%), COBIT (27%), et NIST (22%).
Investissement dans la cyber assurance
La cyberassurance est une considération essentielle pour les PME, car elle peut compenser les répercussions des brèches. Cependant, face aux réglementations plus strictes et aux volumes de menaces croissants, la cyberassurance devient plus difficile à obtenir., certains assureurs stipulant que les entreprises doivent avoir mis en place certains contrôles de sécurité pour être admissibles.
Dans l'enquête, plus de deux tiers (69%) des personnes interrogées ont déclaré avoir mis en place une cyberassurance, et 34% de celles qui n'en ont pas sont susceptibles d'en obtenir une dans l'année. La peur d'être touché par un ransomware semble être l'un des moteurs, car 42% des PME ayant une cyber assurance pensent qu'il est extrêmement probable qu'une attaque par ransomware leur arrive. Sept personnes interrogées sur 10 ont admis qu'une attaque réussie aurait un impact sérieux sur leur organisation, certaines affirmant que le coup pourrait être fatal.
Dans l'ensemble, l'enquête a révélé que les organisations ayant une cyberassurance ont tendance à s'engager plus activement dans la cybersécurité. Elles disposent de plus de soutien informatique, de plus de cadres (CSF) et de plus de solutions de sécurité. Elles sont également plus susceptibles d'avoir connu un incident de sécurité par le passé.
Dans l'ensemble, près d'un tiers des personnes interrogées ont rencontré des virus informatiques au cours de l'année écoulée et 21% ont signalé des escroqueries ou des menaces liées à COVID-19. Comme principale raison de ces problèmes de sécurité, 37% des PME ont cité les courriels de phishing, suivis des sites Web malveillants et d'une gestion faible des mots de passe et des accès. Cependant, environ 42% pensent avoir eu des problèmes de sécurité en raison d'un manque de formation et 24% ont déclaré que c'était dû à de mauvaises pratiques des utilisateurs et à leur crédulité – ce qui indique qu'il y a de la place pour l'amélioration lorsqu'il s'agit de construire leurs couches de défense.
Le manque de préparation est le point faible
Malgré la sensibilisation accrue et l'augmentation des investissements dans la cyberprotection, il y a un autre domaine qui pourrait laisser tomber les PME : la planification du scénario du pire. Seules 3 entreprises sur 10 ont mis en place un plan de récupération de premier ordre. Environ la moitié (52%) s'appuie sur un plan standard et 16% ont admis qu'il n'y avait pas de plan de récupération formel, ce qui les laisse largement ouvertes à une perte de données complète et à une interruption majeure de l'activité. Cela explique peut-être pourquoi près de la moitié des personnes interrogées (47%) déclarent que leur entreprise aurait du mal à se remettre d'une cyberattaque – et 16% craignent que leur entreprise ne se remette pas du tout.
En fait, Les temps d'arrêt sont un problème coûteux que près de la moitié des personnes interrogées ont rencontré l'année dernière.
En 2022, le coût moyen des temps d'arrêt était de 126 000 USD, y compris les pertes de revenus. Un chiffre édifiant, mais de nombreuses PME ne disposent toujours pas des outils nécessaires pour minimiser les temps d'arrêt, comme une solution BCDR unifiée, un centre d'opérations de sécurité (SOC) géré ou une stratégie de réponse aux incidents.
Un peu moins de la moitié (49%) des PME interrogées se sont appuyées sur des sauvegardes manuelles pour récupérer les données pendant un incident, et un cinquième a été obligé de réinstaller et de reconfigurer tous les systèmes à partir de zéro. Avec des processus de récupération lents et lourds, environ 45% des entreprises ont enduré plus de deux jours de temps d'arrêt avant que leurs systèmes ne soient de nouveau opérationnels.
Il est clair que de nombreuses PME auront besoin d'une aide supplémentaire pour planifier et gérer les incidents de sécurité. Le site pénurie de talents en cybersécurité est un facteur contributif, tout comme le manque d'expertise.
Un nombre croissant d'entre eux externalisent le travail : Près de la moitié (47%) des professionnels de l'informatique interrogés ont déclaré que leur organisation fait appel à un fournisseur de services gérés (MSP) ou à un fournisseur de services de sécurité gérés (MSSP). Avec des cybermenaces de plus en plus complexes, ce pourcentage devrait augmenter.
Chris Mckie est VP, Product Marketing Security & ; Networking Solutions chez Datto
Tu pourrais aussi lire :
Outils de cybersécurité pour ta petite entreprise:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports détaillés sur les directeurs, en t'inscrivant à l'abonnement. Abonnement Premium.
- Individuel 5 £ par mois ou 50 £ par an. S'inscrire
- Multi-utilisateur, entreprise & ; Comptes de bibliothèque disponibles sur demande
Cyber Security Intelligence : Capturé Organisé & Accessible
