9 000 euros : c’est le coût médian en 2020 et dans le monde, d’une cyber-attaque visant une PME, selon le dernier rapport Hiscox. En France, l’Ifop précise que 14% des entreprises victimes ont dû dépenser plus de 50 000 euros pour se remettre en ordre de marche, et même plus de 100 000 euros pour 6% d’entre elles.
Mais l’idée n’est pas ici de vous faire frissonner. Avec un record de 623 millions d’attaques enregistrées en 2021 – deux fois plus qu’en 2020 d’après Allianz – il s’écoule déjà rarement une journée sans qu’on n’entende parler de cyber-criminalité.
Le but de cet article est plutôt de lever une idée reçue qui ferait du Cloud un nouveau risque. Il est parfois désigné comme un point faible : une nouvelle porte que l’on ouvre vers l’extérieur. On reproche également aux fournisseurs de Cloud (de fait très peu nombreux) de « concentrer » le risque. Il suffirait que les pirates s’en prennent à un seul hébergeur pour mettre la main sur les données de centaines de milliers d’entreprises.
Chez CE+T Télécommunications, nous ne partageons pas ces craintes. Au contraire, nous estimons qu’il est pertinent pour une entreprise, et à plus forte raison pour une PME, de s’appuyer sur son fournisseur de Cloud afin de sécuriser ses données. Tout simplement parce que l’expertise et les moyens investis par ce fournisseur en matière de cyber-défense sont généralement toujours supérieurs à ceux de la PME.
Autre point important : basculer vers le Cloud contraint l’entreprise à s’interroger sur le niveau de sécurisation des données qu’elle déplace… ce qu’elle n’aurait sans doute pas fait autrement.
L’erreur est (trop souvent) humaine
Enfin et surtout, n’oublions pas qu’en matière de cybersécurité, le point faible est rarement informatique… C’est l’humain qui représente le risque principal, pas le logiciel ni le réseau.
82 % des violations de sécurité impliquent le facteur humain, rappelait Verizon cette année. Et 62 % des incidents d’intrusion dans les systèmes sont passés par une entreprise partenaire. Dans la même veine, une récente enquête de Kaspersky portant sur la cyber-résilience des PME en temps de crise souligne que seuls la moitié (51%) des dirigeants sont certains que leurs anciens employés n’ont plus accès aux données stockées dans le Cloud de l’entreprise.
Avec le Cloud, l’utilisateur dispose d’outils avancés de gestion des droits, de maintien en condition de sécurité, de gestion du réseau, gestion des règles de chiffrement et de monitoring, qu’il peut utiliser pour mettre en place sa politique de sécurité. Il lui faut s’en emparer, avec l’aide de son fournisseur, pour ne pas que ces outils restent lettre morte.