Sécurité de l'information pour les PME

CONTENU

• La sécurité de l'information pour les PME
• S'initier à la sécurité de l'information : ISO 27001 pour les petites entreprisess
• Sécurité informatique améliorée pour les PME grâce à de nouveaux contrôles
• NIS2 : Pourquoi les PME doivent-elles renforcer leur cybersécurité ?
• Sécurité de l'information pour les PME - Conclusion
• Entre de bonnes mains avec DQS
• Conseil de lecture : informations documentées

Sécurité de l'information pour les PME

Les temps ont changé - et les exigences en matière de cybersécurité pour les PME aussi. De nombreuses PME connaissent une croissance rapide et figurent souvent parmi les leaders du marché dans leur secteur. Elles ont donc un besoin important de protéger leur savoir-faire, souvent unique, et leurs secrets d'affaires - mais aussi, en principe, toutes leurs données et informations - contre tout accès non autorisé.

Cependant, en raison de leurs ressources limitées, les PME disposent rarement des moyens nécessaires pour assurer une sécurité de l'information sans faille au niveau de l'entreprise - même si elles sont conscientes des risques de sécurité dans le cadre général de la technologie de l'information et de la sécurité des données. La pénurie de spécialistes dans le secteur des technologies de l'information et les coûts énormes liés à l'exploitation de leur propre centre d'opérations de sécurité (SOC) ne sont que deux des nombreux problèmes qui empêchent les PME d'optimiser leur cybersécurité.

Cette situation est d'autant plus problématique que les PME sont confrontées à des attaques croissantes de la part de cybercriminels, notamment en raison de la situation géopolitique tendue et de l'augmentation des attaques contre la chaîne d'approvisionnement. Le spectre va des ransomwares envoyés en masse aux attaques professionnelles ciblées contre des entreprises individuelles. Les attaquants utilisent également de plus en plus les services en nuage comme vecteur, que les PME (doivent) utiliser particulièrement souvent pour des raisons de coût et d'efficacité.

Une enquête menée par la compagnie d'assurance allemande HDI Versicherungen en 2024 a révélé que 53 % des petites et moyennes entreprises ont déjà été la cible d'une cyberattaque. Toutefois, ce chiffre ne reflète pas toute l'ampleur des attaques, mais documente uniquement les incidents que les entreprises admettent publiquement.

Cette impression est confirmée par l'étude allemande"Gothaer SME Study 2024", selon laquelle la cybercriminalité représente le risque le plus élevé pour 48 % des PME. Selon l'étude, 37 % des petites entreprises s'attendent à ce que le risque d'être victime d'une cyberattaque augmente encore au cours des douze prochains mois. Cela ne comprend pas les risques de sécurité de l'information qui ne proviennent pas du réseau, mais qui sont de nature interne, principalement personnelle, et qui jouent un rôle important dans le contexte d'une sécurité de l'information globale.

ISO 27001 pour les petites entreprises

En tant que responsable de la sécurité de l'information (ISO) et de la protection des données d'une petite ou moyenne entreprise, vous n'avez guère le choix de nos jours : vous devez assurer la sécurité des données et des informations sensibles. Il ne s'agit pas seulement de la sécurité des technologies de l'information. Les mesures structurelles, les procédures et processus organisationnels et les exigences en matière de personnel doivent également être pris en compte. Le facteur humain joue également un rôle central dans la sécurité de l'information et doit être pris en compte en conséquence.

La norme internationale ISO/IEC 27001 constitue l'étalon-or de la sécurité systématique de l'information. Elle fournit une base de test établie et des lignes directrices pour la mise en œuvre de systèmes de management de la sécurité de l'information (SMSI) - pour les entreprises indépendamment de leur structure organisationnelle, de leur orientation ou de leur taille. L'annexe A de la nouvelle norme ISO/IEC 27001:2022, qui, dans sa forme actualisée, aborde tous les aspects de la sécurité de l'information - des mesures organisationnelles aux mesures personnelles et physiques en passant par les mesures de sécurité technique - constitue une bonne introduction pour les petites entreprises.

Sécurité informatique améliorée pour les PME grâce aux nouveaux contrôles

Le caractère pragmatique de l'annexe A fait de la norme ISO 27001 un bon choix pour les petites entreprises. Elle comprend au total 93 mesures de sécurité de l'information (contrôles), dont 11 ont été introduites lors de la dernière mise à jour en 2022.

Les nouveaux contrôles se concentrent principalement sur la sécurité des données et des structures dans le domaine numérique et offrent donc des lignes directrices précieuses qui peuvent améliorer de manière significative la sécurité de l'information pour les PME. Voici un aperçu de quelques-unes des nouvelles fonctionnalités et de la manière dont les petites entreprises peuvent en bénéficier :

• 5.7 Threat intelligence, 8.16 Activity monitoring, 8.23 Web filtering
  Ces contrôles pour la détection, la prévention et la reconnaissance opportune des cyberattaques peuvent être d'une importance quasi existentielle pour les PME en termes de sécurité et de gestion de la continuité des activités. Les petites entreprises sont non seulement vulnérables à la cybercriminalité en raison de leurs ressources limitées, mais elles peuvent aussi rapidement atteindre le stade de l'insolvabilité générale en cas de ransomware.

• 5.23 Sécurité de l'information pour l'utilisation de services en nuage
  Les PME ayant souvent recours à des services en nuage externes, la mise en œuvre de processus appropriés pour l'acquisition, l'utilisation, la gestion et la sortie des services en nuage est particulièrement pertinente. La mesure prend également en compte les responsabilités entre le fournisseur de services en nuage et l'organisation utilisatrice du nuage pour une sécurité appropriée du nuage.

• 5.30 Préparation des TIC pour la continuité des activités
  La continuité des activités est également essentielle pour les petites entreprises qui font partie de chaînes d'approvisionnement parfois très intégrées et pour maintenir les pertes financières à un niveau minimum. Le contrôle "ICT Readiness for Business Continuity" aide à créer une structure organisationnelle appropriée en cas d'incident et des plans de continuité des TIC, y compris des procédures de réponse et de récupération.

• 8.9 Gestion de la configuration
  Le fonctionnement performant et sécurisé des environnements informatiques modernes dépend dans une large mesure de la configuration correcte de tous les systèmes, composants et applications concernés. C'est une bonne chose pour la sécurité informatique des petites entreprises : Une fois configurés, les processus de surveillance peuvent être mis en œuvre automatiquement dans la plupart des cas, ce qui ne génère pratiquement pas de coûts de personnel supplémentaires. La gestion sécurisée des configurations dans le domaine des technologies de l'information relève du domaine des mesures techniques ou technologiques.

• 8.10 Suppression d'informations, 8.11 Masquage de données, 8.12 Prévention des fuites de données
  Les PME se créent souvent une niche sur le marché grâce à leur expertise unique. Ces connaissances particulières sont la clé de leur succès et méritent donc d'être protégées. Les mesures techniques de sécurité de l'information aident les entreprises à éviter les fuites et les pertes de données indésirables et à réduire la surface d'attaque des pirates informatiques et de l'espionnage industriel.

Les contrôles de l'annexe A de la norme ISO 27001 sont d'une grande valeur pour les PME, en particulier à la lumière de la future directive NIS 2 sur la cybersécurité industrielle dans l'UE.

NIS2 : pourquoi les PME doivent renforcer leur sécurité de l'information

L'Union européenne a publié la nouvelle version de la directive sur la sécurité des réseaux et de l'information (NIS) à la fin de l'année 2022. La NIS2 impose de nouvelles exigences en matière de sécurité de l'information aux entreprises des secteurs critiques et affectera également de nombreuses PME en ce qui concerne la protection des données et des structures informatiques.

Selon la directive NIS2, les entreprises des secteurs concernés employant au moins 50 personnes et réalisant un chiffre d'affaires de 10 millions d'euros doivent se conformer à ces exigences. Les PME sont des entreprises comptant jusqu'à 249 employés et réalisant un chiffre d'affaires de 50 millions d'euros ; elles sont donc directement concernées. Cependant, il est important de comprendre que même les plus petites entreprises peuvent être indirectement touchées par le NIS2 via la chaîne d'approvisionnement, c'est-à-dire en tant que fournisseurs d'une entreprise touchée. Dans le cadre de la mise en œuvre spécifique à chaque pays, qui entrera en vigueur le 17 octobre 2024, ces limites peuvent également être revues à la baisse.

Les PME n'ont plus beaucoup de temps pour se préparer aux nouvelles exigences. Bonne nouvelle : avec ISO 27001, les petites entreprises peuvent faire un grand pas dans la bonne direction, car la norme couvre déjà une grande partie (environ 95 %) des exigences du NIS 2.

Sécurité de l'information pour les PME - Conclusion

Au vu des menaces actuelles, les petites et moyennes entreprises (PME), les administrations publiques et les collectivités locales devraient également mettre en place un système de management de la sécurité de l'information conforme à la norme ISO 27001, reconnue au niveau international, et envisager une certification. L'avantage d'un système de management efficace réside non seulement dans le catalogue complet et approfondi des exigences, mais aussi - et c'est particulièrement intéressant pour les PME - dans l'annexe A explicitement axée sur la pratique, qui énumère 93 mesures de sécurité (contrôles) réparties sur quatre chapitres dans la nouvelle édition 2022.

En ce qui concerne la sécurité de l'information pour les PME, non seulement la nécessité de mettre en œuvre et de certifier un SMSI à part entière conformément à la norme ISO 27001 augmente - il suffit de regarder la NIS-2 - mais les exigences structurelles ont également changé fondamentalement dans certains cas. En effet, aujourd'hui, de nombreuses PME disposent déjà d'un système de management de la qualité certifié conformément à la norme ISO 9001, ce qui signifie que les bases d'un système de management intégré avec la norme ISO 27001 sont déjà en place, ce qui permet d'économiser du temps, du personnel et des coûts. ISO 27001 pour les petites entreprises est donc à portée de main.

Entre de bonnes mains avec DQS

Nos audits de certification vous apportent de la clarté. La vision externe holistique et neutre des personnes, des processus, des systèmes et des résultats montre l'efficacité de votre système de management et la manière dont il est mis en œuvre et contrôlé. Il est important pour nous que vous perceviez notre audit non pas comme un examen, mais comme un enrichissement de votre système de management.

Notre approche commence toujours là où les listes de contrôle d'audit s'arrêtent. Nous demandons spécifiquement "pourquoi" parce que nous voulons comprendre les raisons pour lesquelles vous avez choisi une méthode de mise en œuvre particulière. Nous nous concentrons sur le potentiel d'amélioration et encourageons un changement de perspective. Cette approche approfondie garantit que vous identifierez des domaines d'action pour l'amélioration continue de votre système de management.

Conseil de lecture : informations documentées

La rapidité avec laquelle l'information est diffusée et traitée constitue un défi majeur pour les organisations d'aujourd'hui. La diversité des informations rend de plus en plus difficile l'identification des informations cruciales pour l'organisation et son système de management.

En même temps, l'utilisation des moyens modernes de communication pour contrôler l'information documentée donne lieu à des aspects entièrement nouveaux. La disponibilité, l'intégrité et la confidentialité deviennent donc de plus en plus importantes. Cependant, à mesure que le degré de disponibilité augmente, la sécurité de l'information diminue si des mesures de protection appropriées ne sont pas prises.

Confiance et expertise

Nos textes et brochures sont rédigés exclusivement par nos experts en normalisation ou nos auditeurs de longue date. Si vous avez des questions sur le contenu des textes ou sur les services que nous offrons à nos auteurs, n'hésitez pas à nous contacter.