¿Se puede adaptar la oferta cibernética a las VSE y PYMES?

¿Tienen las VPE y las PYMES el conocimiento y los medios para garantizar su propia ciberseguridad a pesar de que son cada vez más atacadas? Este desafío de “ ampliar “, la masificación de la ciberprotección para los actores, incluidos los más pequeños, es el principal desafío para los próximos años, según Vincent Strubel, director general de la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI). Lo recordó una vez más al ecosistema, durante la ceremonia de apertura de la Conferencia de Ciberseguridad en Mónaco, el 11 de octubre.

Una de cada dos pymes quiebra a los 18 meses de un ataque

Todos los interlocutores de Siglo digital Es unánime que las pequeñas y medianas empresas, como las comunidades o los establecimientos de salud, permanecen desde hace mucho tiempo en el punto ciego del ecosistema cibernético. “ Antes, quizás se veían menos afectados, porque los atacantes se dirigían más a empresas más grandes.s » descifra Olivier Morel, tesorero de la asociación profesional Hexatrust. Los ciberdelincuentes, en busca de ganancias, han tendido a favorecer a los objetivos con mayor potencial de ganancias. Es alrededor de estas grandes organizaciones que se ha construido el mercado de la ciberseguridad.

Sin embargo, la sensibilización y el refuerzo de la protección en los últimos años han tenido un efecto secundario. Por facilidad ” De hecho, las pequeñas y medianas empresas se están convirtiendo en un objetivo interesante. », señala Olivier Morel. Según el informe Ciberseguridad, escalemos, del Instituto Montaigne publicado en junio, en 2020, el 65% de las víctimas de ransomware identificadas por ANSSI eran VSE-PYME, comunidades, establecimientos de salud, el 24% empresas estratégicas. En 2022, las empresas estratégicas representaron el 6% del total, frente al 73% de las pequeñas estructuras.

Atacadas con más frecuencia, las PYME VSE también son menos resilientes. Gérôme Billois, socio de ciberseguridad de Wavestone y coponente del informe del Institut Montaigne, testifica en Siglo digital de la lógica de solidaridad de la que se benefician grandes grupos de sus socios, que están igualmente expuestos a este riesgo. Mejor asegurados y con un mejor flujo de caja, el daño de un ciberataque puede ser relativamente contenido. Sin embargo, para una PYME más frágil, “ la pérdida de 15 días de facturación [environ la durée moyenne d’une interruption d’activité causée par un ransomware] puede colapsar su modelo económico “. Según cifras del gobierno, una de cada dos PYME quiebra dentro de los 18 meses posteriores a un ataque.

Un mercado difícil de abordar para el ecosistema cibernético

Existe una necesidad urgente de asumir el desafío de ampliar la escala, de “ hacer prêt-à-porter además de alta costura » según la sentida metáfora del director de ANSSI. Para ello hay que traer actores” que no tienen la misma madurez, que no tienen los mismos medios en materia de ciberseguridad » para protegerse. Y hay trabajo, ya sea en términos de sensibilización o de adaptación de la oferta de servicios.

Convencer a las pequeñas y medianas empresas de su propia falibilidad es una primera dificultad. Según el barómetro France Num 2023, sólo el 48% expresó temores relacionados con la ciberseguridad. “ Cuando hablas con una PYME de ciberseguridad te dirán «no sé nada al respecto, no tengo dinero para ponerlo, ya tengo dificultades para gestionar el presupuesto de mi trabajo» » testifica David Bécu, director de ventas de protección de datos y recuperación cibernética de Dell Technologies. Lamenta una forma de inconsciencia entre algunos, incluso por parte de entidades ya afectadas que “ decirse a sí mismos “esto no me volverá a pasar una segunda vez” » informa antes de agregar “ y aún así podría citar muchos ejemplos “.

Para los líderes de estructuras pequeñas que estén debidamente conscientes, todavía es necesario encontrar formas de protegerse. Cuantificar el coste de una solución cibernética es complejo, ya que varía intrínsecamente en función de la exposición de la empresa, su sector de actividad, los datos manejados, etc. Gérôme Billois menciona un rango de inversión entre el 5 y el 10% del presupuesto de TI, “ menos de 5 es realmente correr un riesgo, llegar a 10 no está mal, pero no todo el mundo necesita llegar tan lejos “. Para Olivier Morel “ si consiguen aportar unos miles de euros al año, es el fin del mundo, pero estamos muy, muy lejos de ello “. Sin tener en cuenta el otro tipo de recursos potencialmente necesarios, una persona dedicada a estas cuestiones, “las habilidades son raras y caras en el mundo cibernético”, señala David Bécu.

La alternativa para satisfacer las necesidades básicas de este mercado en particular sigue siendo proporcionar una solución llave en mano, SaaS, que limite la necesidad de intervención humana y a un coste reducido. “ No es una ecuación sencilla, pero hoy en día hay empresas, incluidos los miembros de Hexatrust, que están trabajando en estas ofertas. », argumenta Olivier Morel. Este es también el camino elegido por Dell para abordar este mercado” con cosas muy sencillas, en unos pocos clics, lo más fáciles de administrar, ya sea por ellos mismos o por un tercero. » ensalza David Bécu.

Si cada vez más actores cibernéticos se interesan por las pequeñas y medianas empresas, el camino también estará plagado de obstáculos para ellos. “ Lo complejo es la adquisición, la distribución de este mercado. », señala Olivier Morel. Con poco menos de 150.000 PYME y millones de VSE en Francia, cuya actividad suele estar anclada en un entorno muy local, encontrar clientes requiere un gran esfuerzo. Asociado a la obligación de ofrecer soluciones económicas, y por tanto con poco margen, y que por tanto exigen trabajar en volumen, es la serpiente que se está muriendo la cola. Unas semanas antes de la Conferencia de Ciberseguridad, una nueva empresa, ProHacKtive, especializada en el mercado VSE-PYME tuvo que cerrar sus puertas. Si su fundador no ha explicado públicamente los motivos, la dificultad de dirigirse al mercado parece una explicación plausible. “ nos quemaremos » buscar estas entidades, cree Gérôme Billois.

Sin embargo, la ciberseguridad no está fuera de nuestro alcance.

El informe del Institut Montaigne ofrece una decena de recomendaciones variadas para intentar responder al desafío de la ampliación. Promover enfoques locales, fomentar el diagnóstico, establecer una ciberalerta anual, hacer accesibles los ciberestándares en torno a algunos fundamentos… El desafío aquí es encontrar un equilibrio entre incentivos y regulaciones. El coponente del expediente, Gérôme Billois, insiste especialmente en la búsqueda de efectos de palanca, única manera, según él, de consolidar la protección de las pequeñas estructuras. El principal es el de Seguridad por Diseño”, Hoy llama la atención, compras software de gestión contable, la seguridad no está integrada. Es como en los años 70 cuando comprabas un coche y los cinturones de seguridad eran una opción. “.

David Bécu, de Dell Technologies, desconfía de esta idea. Prefiere insistir” por pragmatismo » sobre el ecosistema existente y la responsabilidad de cada persona. Estima que ” tal vez algún día suceda [la Security by Design]pero hoy no estamos ahí “. Por el contrario, Gérôme Billois ve que las cosas van en la dirección correcta. La Unión Europea está estudiando actualmente un reglamento, la Cyber ​​​​Resilience Act, que tiene como objetivo precisamente imponer una seguridad mínima a los productos digitales. El asociado de ciberseguridad de Wavestone también aboga por la integración de una ciberseguridad mínima por defecto, particularmente entre los operadores de telecomunicaciones.

Sin eximir a las pequeñas empresas de sus obligaciones, como la gestión de expedientes personales o los derechos de acceso a su sistema de información, por ejemplo, la idea es llevar la seguridad de cientos de miles de empresas a un nivel superior. Cifrado, autenticación sólida, copias de seguridad periódicas, combinadas con un buen antivirus, estas medidas básicas no están fuera de su alcance; algunos incluso ya están familiarizados con el uso de aplicaciones bancarias o sitios de comercio electrónico. Para las PYME o ETI, donde los requisitos son más importantes, como los presupuestos, el ecosistema cibernético está ahí.