Quel est le problème ?
Les psychologues ont un terme pour le décrire : le biais d’optimisme. Il s’agit de personnes qui pensent qu’elles ont moins de chances de subir un événement négatif. Dans une certaine mesure, les petites et moyennes entreprises (PME), c’est-à-dire les organisations comptant jusqu’à 1 000 employés, connaissent ce problème, en particulier dans le domaine de la cybersécurité.
Même pour ceux qui comprennent l’ampleur de la menace, le manque d’expertise et de ressources en matière de sécurité les rend vulnérables aux pirates informatiques. Les grandes entreprises sont généralement protégées parce qu’elles disposent de systèmes de détection en temps réel sophistiqués basés sur le cloud, alors que les PME sont souvent exposées, ce qui n’est pas passé inaperçu.
Selon le rapport d’enquête sur les violations de données publié par Verizon en 2019, 43 % des cyberattaques ciblent les petites entreprises car leur protection est rudimentaire. Et leur situation ne fera qu’empirer. Avec l’augmentation du nombre de sous-traitants et d’indépendants, de travailleurs mobiles et de l’utilisation d’appareils personnels, qui accèdent tous aux réseaux d’entreprise, les menaces et les vulnérabilités augmentent de manière significative.
Les PME ne peuvent pas se permettre d’être vulnérables. Comme l’a révélé une étude réalisée cette année, le coût d’une violation de données a augmenté de 12 % au cours des cinq dernières années, et ce problème concerne particulièrement les PME. D’après cette étude, les entreprises de moins de 500 employés ont subi des pertes de plus de 2,5 millions de dollars en moyenne.
Que peuvent faire les PME ?
Tout d’abord, elles doivent prendre les menaces au sérieux et se défaire de l’idée que les PME ne sont pas dans le collimateur des pirates informatiques. Deuxièmement, elles devraient commencer à adopter des capacités défensives robustes et évolutives, capables de gérer les risques associés à l’évolution des pratiques de travail et des modes de fonctionnement.
Aider à la sécurité des PME est une opportunité immense pour les fournisseurs de services gérés (FSG) et les fournisseurs de services de sécurité gérés (MSSP) qui peuvent fournir leur expertise et gagner des revenus réguliers grâce à une sécurité pour entreprise adaptée aux PME.
Oubliez tout ce que vous savez
Les appliances de sécurité ne sont plus adaptées aux habitudes de travail modernes
Les temps ont changé. Les collaborateurs sont aujourd’hui mobiles, travaillent à distance et ont besoin d’outils adaptés. Comme les organisations s’appuient de plus en plus sur les unités opérationnelles, et non sur les services informatiques, pour déterminer quels appareils et applications conviennent le mieux à leurs collaborateurs, le potentiel de risque s’accroît. Cette décentralisation s’accompagne d'une augmentation des coûts, d’une perte de contrôle et d’un manque de surveillance de la sécurité.
Avec le développement de l’utilisation d’appareils personnels (PAP), les PME doivent prendre en compte la manière dont les données professionnelles sont désormais accessibles et utilisées en dehors des murs de l’entreprise. Tout comme les grandes entreprises, les PME doivent accepter l’idée que le périmètre du réseau n’est plus le même et que les conséquences de ce changement sur la sécurité sont graves.
De nombreuses PME utilisent des dispositifs de sécurité pour protéger leurs réseaux, mais nous estimons que jusqu’à 73 % du trafic web peut maintenant contourner ces dispositifs car la plupart des appareils de gestion unifiée des menaces (UTM) n’utilisent pas les fonctions d’inspection SSL. Si les PME n’inspectent pas le protocole SSL, tous les autres dispositifs de sécurité sont inutiles !
Ne vous reposez pas trop sur le cloud
La sécurité des PME est rendue obsolète par le changement
La gestion des applications, des données et des infrastructures se déplace vers le cloud, alors que la sécurité sur site s’avère de moins en moins efficace et pertinente. Alors que les PME consacrent de plus en plus de budget à l’informatique dématérialisée, la sécurité traditionnelle devient de moins en moins efficace.
Dans le meilleur des cas, les appareils sur site ne protègent qu’une fraction des données de l’entreprise, laissant celle-ci à découvert. En fait, nous irions même jusqu’à dire que les UTM (Unified Threat Management, ou appareils de gestion unifiée des menaces) ne sont plus sûrs. Aujourd’hui, les petites entreprises qui utilisent des appliances de sécurité bureautiques sont à un clic du désastre ou de la faillite.
La mise à jour des dispositifs de sécurité sur site peut être un casse-tête pour les PME
L’évolution des habitudes de travail et la multitude d’appareils ont fait pression sur les PME pour qu’elles maintiennent leur sécurité à jour. Avec 125 000 nouvelles menaces par jour, cela devient une tâche presque impossible avec des ressources et des budgets limités.
La plupart des dispositifs sur site ne téléchargent pas immédiatement les fichiers de définition des menaces, car de nouvelles variantes de menaces apparaissent sans cesse. Les appareils sont donc exposés, ce qui permet à ces nouvelles variantes d’entrer dans le réseau avant que les listes de définitions ne soient mises à jour. Il est donc quasiment impossible pour les PME de suivre le rythme. Vient ensuite la question de l’évolutivité. Comment les PME en pleine croissance, qui ouvrent de nouveaux bureaux ou même des sites à distance, peuvent-elles s’assurer que tous les sites sont entièrement sécurisés et que le réseau ne sera pas exposé à des pirates informatiques ?
Les PME ont besoin d’une protection au niveau de l’entreprise
Il n’est pas rare qu’une PME dispose d’un ensemble hétéroclite d’applications et d’appliances de sécurité provenant de différents fournisseurs. Cela ne veut pas dire que ces PME étaient en sécurité, même sans la généralisation de la mobilité. Comme l’a découvert Gartner, même pour les entreprises qui disposaient de fonctions SSL dans leurs appliances, la plupart d’entre elles étaient désactivées.
Il ne s’agit pas nécessairement d’incompétence, mais plutôt d’un manque de compétences appropriées. Le problème auquel sont confrontées la plupart des PME est qu’il existe d’importantes pénuries de compétences dans le monde entier en matière de cybersécurité. Une étude récente a révélé que cette pénurie touche désormais 74 % des organisations et que les PME sont les plus durement touchées.
Les PME ont besoin d’expertise. Comment les petites entreprises peuvent-elles assurer leur sécurité dans des environnements où les menaces sont de plus en plus complexes, sans pour autant se ruiner en systèmes de sécurité ?
C’est là que les partenaires interviennent et peuvent devenir des MSSP qui fournissent des services de sécurité à valeur ajoutée aux PME. Le nouveau produit de passerelle Internet sécurisée d’Avast constitue une bonne base : il offre une sécurité évolutive et immatérielle, basée sur le cloud et est déjà utilisé par de grandes entreprises figurant dans le classement Fortune 500.
Les cybercriminels ciblent les PME
Comme nous l’avons indiqué, les cybercriminels comptent sur l’optimisme des PME. Ils veulent qu'elles continuent à penser qu’il ne leur arrivera rien, car cela fait d’elles des cibles moins difficiles à atteindre. L’inaction n’est donc pas une option.
Les PME, avec l’aide des FSG, doivent réévaluer leur protection et l’aligner sur les pratiques commerciales modernes. Elles doivent réévaluer leurs appareils existants et identifier les faiblesses potentielles de leur réseau et des appareils de leur personnel.
Les PME ont besoin d’une stratégie qui couvre les tendances en matière de mobilité et de travail à distance, en tenant compte de l’utilisation du Wi-Fi public dans les hôtels, les aéroports et les cafés. Elles ont besoin d’une meilleure compréhension des risques auxquels elles sont confrontées, ainsi que d’une aide pour élaborer une solution de sécurité adaptée à leur budget et à leurs habitudes de travail.
La passerelle Internet sécurisée et son importance
Comment aidons-nous les fournisseurs de services gérés à aider leurs clients ?
En fournissant une solution évolutive, de niveau professionnel, basée sur le cloud et adaptée aux PME, qui protégera un réseau contre les violations, telles que les menaces cachées dans SSL, les attaques de type Zero Day et les botnets qui peuvent facilement contourner les périmètres de sécurité traditionnels.
Ces principales fonctionnalités sont :
- La passerelle Internet sécurisée qui effectue une analyse intelligente et ultra-rapide du trafic SSL/TLS difficile à inspecter, assurant ainsi un niveau de protection élevé et de meilleures performances.
- La passerelle Internet sécurisée fournit une Sandbox basée sur le cloud pour une protection Zero Day, en analysant automatiquement les fichiers .exe et .dll provenant de sites inconnus pour détecter les cybermenaces. Si une menace est détectée, elle sera placée dans la Sandbox et un blocage automatique sera déployé en temps réel pour cet élément sur l’ensemble du réseau. Contrôle de pare-feu basé sur le cloud qui permet de définir des règles granulaires par IP, port et protocole. La passerelle Internet sécurisée se déploie en seulement quelques minutes et s’adapte facilement à plusieurs bureaux et sites.
- La passerelle Internet sécurisée n’impose aucune limite au débit, éliminant ainsi les goulets d’étranglement causés par la sécurité traditionnelle des UTM
- La passerelle Internet sécurisée fournit des rapports faciles à lire.
- La passerelle Internet sécurisée est facile à déployer et à configurer, même si vous souhaitez déployer les paramètres avancés de protection contre les menaces qui bloquent les contenus suspects, le phishing, le vol de cookies, les anonymiseurs, le cross site scripting, etc.
- Avec une passerelle Internet sécurisée, vous pouvez également configurer le contrôle de la bande passante pour vous assurer que les applications comme O365 sont prioritaires.
Conclusion : L’importance de la sécurité des PME
Face à l’augmentation des menaces, au manque d’expertise informatique et à la réduction des budgets, les FSG et MSSP devraient envisager des services de sécurité pour entreprise basés sur le cloud et adaptés aux PME. Ces services de sécurité ne doivent pas seulement protéger le bureau, mais l’ensemble de l’organisation.
Les experts en sécurité s’accordent à dire que les bureaux s'étendent désormais à tout Internet. Une entreprise doit être défendue de manière globale, afin que les FSG et les MSSP aient la possibilité de répondre aux menaces, avec une expertise et une solution d’entreprise à un prix PME.
La défense contre les menaces avancées doit être aussi bonne pour une PME que pour une grande entreprise, mais elle doit aussi être moins coûteuse et moins compliquée à acquérir, à utiliser, à déployer et à mettre à jour. Les PME ont besoin de l’aide et de l’expertise de partenaires pour y parvenir. C’est une occasion de se développer et d’établir de nouvelles solutions de sécurité pour les PME, qui combinent des passerelles basées sur le cloud, telles que des passerelles sécurisées et une sécurité avancée des terminaux. Il s’agit de sortir des sentiers battus, de s’éloigner de la vente et de la maintenance de matériel, de passer de FSG à MSSP et d’adopter des solutions basées sur le cloud qui génèrent des revenus continus, afin de tenir les menaces à distance et de satisfaire les clients.