Les cyberattaques, hélas, ne concernent pas que les grandes entreprises : les PME sont elles aussi ciblées, et particulièrement impactées. Pour se défendre, elles placent l’identité au cœur de leur stratégie de sécurité.
Les PME particulièrement vulnérables
Selon une récente étude de Verizon*, 43% des cyberattaques ciblent des PME. Les effets de ces attaques sont particulièrement dévastateurs pour les petites entreprises : 60% des PME doivent fermer leur entreprise dans les six mois suivant l’incident. Celles-ci, en effet, n’ont pas toujours investi dans des solutions de sécurité solides ni formé leurs employés sur ces questions pourtant primordiales. Cet état d’esprit est en train de changer car les PME, comme les autres entreprises toutes tailles confondues, sont actuellement préoccupées par leur stratégie de sécurisation des données alors que leur responsabilité juridique grandit. En effet, les PME européennes doivent prouver qu’elles peuvent contrôler et protéger l’accès aux systèmes qui contiennent des données personnelles car le RGPD prévoit de lourdes sanctions financières en cas de non-conformité. Ce n’est pas tout : il leur faut aussi désormais tenir compte des directives européennes sur la sécurité des réseaux et des systèmes d’informations (“NIS”), sur la sécurité de l’industrie des cartes de paiement (“PCI DSS”) et enfin sur les services de paiement dans l’UE (“PSD2”). Toutes ajoutent une couche de sécurité supplémentaire aux règles déjà complexes concernant l’utilisation des données personnelles des clients.
L’identité au cœur des préoccupations
Dans ce contexte, les plus petites entreprises misent sur l’identité comme meilleur rempart. Une récente enquête IDC** nous apprend ainsi que l’identité est la première préoccupation pour les petites entreprises (entre 100 et 499 employés), la deuxième pour les entreprises moyennes (entre 500 et 999), mais seulement l’une des cinq principales préoccupations pour la plupart des grandes entreprises (2 500 employés ou plus). Tout employé de PME aura certainement constaté un jour ou l’autre l’attitude parfois un brin laxiste d’un collaborateur dans son entreprise vis-à-vis de la sécurité des mots de passe. Les mauvaises pratiques sont malheureusement largement répandues : mots de passe griffonnés sur un post-it collé sous l’écran d’ordinateur, mots de passe réutilisés, mots de passe faibles (1234 ou alors 0000…), mots de passe communs pour des utilisations personnelles et professionnelles, etc. Idéalement, une gestion des identités devrait s’appliquer à l’ensemble des systèmes utilisés par un utilisateur, de la création à la gestion continue en passant par la mise hors service. Or, quelle PME à ce jour a le temps de s’en occuper simplement ? Pourtant, cela est crucial : souvent, les cybercriminels compromettent des systèmes en utilisant des identifiants censés être obsolètes. La gestion des identités et des accès (IAM) est un enjeu important pour limiter les risques en tant que première ligne de défense solide. C’est aussi une opportunité : en créant un nouveau périmètre flexible sécurisé, l’identité permet d’apporter un gage de sécurité aux PME.
Un avantage commercial
Parmi ces avantages : une meilleure expérience utilisateur, ce qui permet d’améliorer la satisfaction et la motivation des collaborateurs et la facilitation du multi-appareils. Un point particulièrement important alors que la force de travail devient de plus en plus mobile et que de nouveaux modèles d’emploi émergent avec les travailleurs à temps partiels et flexibles ou le recours à des indépendants, de plus en plus répandu dans les plus petites structures. Une solution IDT de gestion de mots de passe et d’identité peut répondre à de nombreux besoins et cas de figure. Par ailleurs, il y a la question des coûts, essentielle chez les PME. L’adoption d’applications SaaS a permis aux entreprises de taille modeste, des start-ups aux affaires familiales, non seulement de limiter les investissements dans les infrastructures physiques IT onéreuses, mais aussi leur a permis d’ouvrir la porte à l’innovation. En basculant leurs charges de travail vers le Cloud, les PME peuvent en effet être plus agiles et mieux placées pour saisir de nouvelles opportunités. C’est un outil clé pour réussir leur transformation numérique, afin de jouer dans la même cour que les grands. Pour les PME, plusieurs solutions IDT en SaaS existent : l’identification unique, la gestion des mots de passe d’entreprise et l’authentification avancée, en particulier l’authentification multifactorielle (MFA, multifactor authentication). Toutes ont en commun de fournir aux utilisateurs un accès fluide et efficace, ainsi qu’une sécurité renforcée – les PME n’ont donc aucune raison de s’en priver.
Sources :
* Verizon, 2019 Data Breach Investigations Report.
** Enquête paneuropéenne de sécurité 2019, IDC.
Pour en savoir plus sur la gestion des identités et des accès, consultez le livre blanc Lastpass qui présente les enjeux et les bonnes pratiques à suivre en matière de sécurité.
