Quels enseignements tirer du « radar 2025 » pour les PME / PMI ?
Depuis plus de dix ans, Wavestone met à jour chaque année son outil de prospective, le « Radar du RSSI », qui regroupe les thématiques clés dans les domaines de la cybersécurité. Bien que le radar se concentre principalement sur les grandes organisations, il existe des points importants et des conseils applicables aux petites et moyennes entreprises (PME / PMI).
Rationalisation et optimisation
Comme pour les grandes entreprises, les PME doivent rationaliser leurs processus et outils de cybersécurité pour optimiser les ressources. L’accent doit être mis sur l’utilisation efficace des budgets limités et sur l’évitement des redondances et des conflits entre les outils. Le concept de « smart sourcing » s’applique également aux PME, qui peuvent externaliser certaines tâches de cybersécurité tout en conservant un contrôle interne. Les tâches opérationnelles les plus complexes sont visées. Pour dégager des budgets, les PME doivent prendre conscience de la valeur de la cybersécurité et identifier sa contribution aux objectifs de l’entreprise.
Sécurité opérationnelle et gestion des vulnérabilités
A leur échelle, Les PME peuvent opter pour un Security Operation Center (SOC). Celui doit être dimensionné à leurs besoins et ressources, le plus souvent externalisé pour profiter de l’effet de mutualisation. L’automatisation et la gestion des données en temps réel sont des aspects importants à explorer. La prise en compte du concept de Vulnerability Operation Center (VOC), pour industrialiser la gestion des vulnérabilités et automatiser certains processus, peut être également confié à un prestataire externe.
Protection des données et IA
Les PME doivent également se concentrer sur la protection de leurs données clés, en tirant parti des nouvelles technologies et de l’IA si possible. L’identification des propriétaires de données (data owner) et l’analyse des solutions de sécurité existantes sont des étapes importantes. Disponible sous le nom de DLP (Data Leak Prevention / Protection) des solutions permettent de simplifier la cartographie et la protection de données. L’usage de l’IA, via des fournisseurs tiers, doit comprendre une analyse des risques associés et mettre en place des mesures de sécurité adéquates. L’information des collaborateurs est nécessaire et doit être abordée sous les aspects techniques comme juridiques.
En résumé, adapter le niveau de cyber sécurité à la réalité des PME
Les recommandations pour les grandes entreprises peuvent être adaptées aux PME en tenant compte de leurs ressources et de leur contexte spécifique. L’accent doit être mis sur l’optimisation des ressources, la gestion des risques clés et la protection des données.
SOURCE
