Les budgets tendus, les équipes trop étendues et une augmentation des menaces sophistiquées conduisent à la confiance de la sécurité parmi les PME, les cybercriminels les ciblent de plus en plus dans les attaques de la chaîne d’approvisionnement.
Des budgets limités, des équipes informatiques trop étendues et un paysage de menace en évolution rapide signifient que les petites organisations approchent d’un «point de basculement de la cybersécurité».
Le rapport sur les perspectives mondiales de cybersécurité du Forum économique mondial (WEF) a noté que «71% des cyber-dirigeants disent que les petites organisations ont déjà atteint un point de basculement critique où ils ne peuvent plus s’assurer adéquatement contre la complexité croissante des cyber-risques.»
Plus d’un tiers (35%) des petites organisations croient que leur cyber-résilience est inadéquate, une proportion qui a augmenté de sept ans depuis 2022.
En revanche, la part des grandes organisations signalant une cyber-résilience insuffisante a presque réduit de moitié au cours de la même période.
Écart de compétences conduisant à la détérioration des perspectives de sécurité
«Les lacunes des cyber-compétences sont répandues dans les PME en grande partie en raison d’un manque de ressources et de connaissances spécialisées», explique Tom Exelby, responsable de la cybersécurité de la société de services de sécurité gérée Red Helix. «De nombreuses PME n’ont pas d’équipes de cybersécurité dédiées, et ceux qui sont en charge de la sécurité peuvent manquer de confiance pour effectuer des cyber-tâches même de base.»
Les petits et moyens enlevés (PME) qui ont un budget pour embaucher des spécialistes ont souvent du mal à attirer et à retenir des professionnels qualifiés en raison du manque de variation du rôle. L’épuisement professionnel est également un problème croissant pour les équipes informatiques sous-cendres et sous-qualifiées communes dans les petites entreprises.
«Avec des ressources limitées dans l’entreprise, les employés portent souvent plusieurs chapeaux et la pression pour gérer la cybersécurité en plus de leurs tâches régulières peut entraîner une fatigue, des menaces manquées et un chiffre d’affaires plus élevé», explique Exelby.
Le rapport de WEF estime que l’écart de cyber-compétences a augmenté de 8%, avec deux organisations sur trois signalant des lacunes de compétences modérées à critiques, y compris un manque de talents et de compétences essentiels pour répondre à leurs exigences de sécurité. Les résultats de la WEF sont basés sur une enquête auprès de 321 participants qualifiés complétés par 43 entretiens individuels.
Les contraintes de ressources courantes dans les petites entreprises font du maintien de la posture de sécurité même de base une lutte difficile.
Wood ajoute: «Compte tenu de la portée de cette liste, il peut être difficile pour les organisations de suivre les meilleures pratiques de base de la sécurité.»
PME ciblée par les attaques de chaîne d’approvisionnement
Les PME croient souvent à tort que les cyberattaquants ne ciblent que de plus grandes organisations, mais ce n’est souvent pas le cas – en particulier parce que les partenaires des petites entreprises de grandes entreprises sont souvent délibérément ciblés dans le cadre des attaques de la chaîne d’approvisionnement.
«Les menaces deviennent plus avancées, mais leurs ressources ne suivent pas le rythme», explique Kristian Torode, directrice et cofondatrice de Crystalline, spécialiste de la cybersécurité des PME. «De nombreuses PME comptent toujours sur des systèmes obsolètes ou n’ont pas d’équipes de sécurité dédiées en place, ce qui en fait une cible facile.»
Torode ajoute: « Ils sont également considérés par les cybercriminels comme un lien exploitable dans la chaîne d’approvisionnement, car ils travaillent souvent avec des entreprises plus grandes. »
Formation des lacunes et des maux de tête réglementaires
La cyberintimidation est un autre domaine où les petites entreprises prennent du retard.
«Les modules de formation annuels ne sont plus adaptés à l’usage étant donné le taux de changement», explique le Dr Rick Goud, CIO et cofondateur du fournisseur de messagerie sécurisé Zivver. «Ce qui est nécessaire, c’est une éducation plus dynamique et consciente du contexte qui est dispensée quand et où les employés sont les plus susceptibles de faire des erreurs.»
En plus des défis de suivre la dernière formation, la prolifération des exigences réglementaires dans le monde ajoute également un fardeau de conformité important pour les petites organisations.
«Alors que des réglementations comme NIS2 et le RGPD deviennent plus strictes, la conformité est souvent laissée à des équipes de direction qui jonglent déjà avec plusieurs rôles», explique Goud. «Sans un responsable de la protection des données ou une équipe dédiés, il est facile que les choses tombent dans les mailles du filet, en particulier lorsque des fournisseurs tiers sont impliqués.»
Pire, la nécessité de se conformer à NIS2 dans la région EMEA est de manger dans les budgets informatiques, ce qui fait une pression supplémentaire sur les petites organisations. De plus, des réglementations comme NIS2 et Dora exercent une pression encore plus importante sur les marchés des talents et les lacunes de compétences.
Menaces croissantes
Les petites équipes, déjà aux prises avec des cyber-compétences limitées, sont souvent mal équipées pour gérer une gamme croissante de menaces. Cela contribue à une lacune élargie de la maturité de la sécurité entre les organisations plus grandes et plus petites.
«Contrairement aux grandes entreprises, les PME n’ont souvent pas le budget et le personnel spécialisé pour garantir une pile de son vaste, d’autant plus que le travail hybride et l’adoption du cloud étendent leur surface d’attaque», explique Robert Phan, CISO dans la société de services d’annuaire basée sur le cloud, JumpCloud.
Martin Greenfield, directeur général de Quod Orbis, voit également le passage aux environnements de travail cloud et hybrides remettant en cause les PME à un moment où «les acteurs de la menace sont devenus plus rapides, plus intelligents et mieux ressources», dit-il.
De plus, une monoculture de petite entreprise d’outils de sécurité similaires (bon marché) et à peu près les mêmes équipements informatiques – souvent configurés dans les configurations par défaut (insécurité) – permet aux cybercriminels d’automatiser les attaques contre les PME à grande échelle, note Richard Werner, la plate-forme de cybersécurité Lead pour l’Europe chez Trend Micro.
En conséquence, les menaces de sécurité évoluent et augmentent plus rapidement que la plupart des PME ne peuvent suivre et encore moins de remèdes. Par exemple:
- L’IA générative est une suralimentation de phishing et BEC Social Engineering: les attaquants utilisent l’IA pour élaborer des leurres de phishing hautement personnalisés et courants – rendant les messages plus difficiles à repérer et augmentent considérablement le volume global.
- Ransomware-as-a-Service a professionnalisé: les plates-formes RAAS d’aujourd’hui proposent des tableaux de bord d’affiliation, des livres de jeu, un soutien à la négociation et une multi-extension (combinant le chiffrement, le vol de données et la honte publique), augmentant à la fois la sophistication technique et la pression de réputation sur les victimes.
- Les nouvelles surfaces d’attaque augmentent autour du nuage et de l’identité: «Les services de mauvaise IAM et d’accès à distance exposés ont entraîné une augmentation des ransomwares axés sur le cloud et des attaques de comptes», selon l’OpenText Cybersecurity. «En 2024 seulement, les incidents de ransomware de cloud ont augmenté alors que les attaquants se déplaçaient au-delà des points de terminaison pour voler des clés d’API ou des services d’abus comme Okta et Azure Ad.»
« Les menaces de sécurité évoluent plus rapidement que la plupart des PME ne peuvent suivre », explique le gouloustard de Zivver. «Le phishing axé sur l’IA, les escroqueries en profondeur et l’exploitation automatisée sont tous en hausse, mais la plupart des organisations n’ont pas la capacité interne de les surveiller ou de les répondre. Cet écart augmente, tout comme les risques.»
Surtension de vulnérabilité
Les équipes informatiques des petites entreprises ont toujours eu du mal à hiérarchiser et à triage des problèmes de sécurité – un problème qui n’a fait que devenir plus aiguë ces dernières années à mesure que le volume des vulnérabilités a augmenté.
Selon le rapport d’enquête sur les violations de données de Verizon pour 2025, les vulnérabilités ont augmenté en tant que vecteur d’attaque de 180% par rapport à l’année précédente. En examinant le nombre de vulnérabilités logicielles signalées, ce nombre a également augmenté – de 25 059 en 2022 et 28 961 en 2023 à 40 077 en 2024.
La dynamique des entreprises a également un rôle à jouer dans les problèmes de sécurité croissants rencontrés par les PME.
« Les PME ont accéléré la transformation numérique pour rester compétitive ou simplement pour rester opérationnelle pendant la pandémie », souligne Casey de Qodea. «Pourtant, beaucoup n’ont toujours pas l’expertise interne pour évaluer ou traiter correctement les implications de sécurité de ce changement.»
Atténuation
Bien qu’une multitude d’informations soient disponibles, comme le guide de sécurité des petites entreprises du NCSC britannique, les petites entreprises ont souvent du mal à trouver des conseils exploitables.
Au cours d’une session à la conférence Infoscurity Europe au début du mois, des représentants du projet CYCOS ont expliqué comment ils offraient une approche communautaire pour soutenir les petites entreprises pour devenir plus sécurisée.
Cycos est une collaboration entre trois universités britanniques (Nottingham, Queen Mary et Kent), et est soutenue par une variété de partenaires, notamment le Home Office, le National Cyber Security Center (NCSC), l’ISC2, le Chartered Institute of Information Security (CIISEC) et trois centres régionaux de cyber-résidence.
Pendant le panel, le professeur Steven Furnell, membre du conseil d’administration de la CIISEC, a souligné que «les PME ont les conseils de sécurité, mais ils ne savent pas comment le faire avancer en construisant des communautés, afin que les petites entreprises aient quelqu’un à qui parler des consultants.»
Les experts de l’industrie soutiennent que l’utilisation de services de sécurité gérés peut aider les petites entreprises à devenir plus résilientes.
«À court terme, les PME peuvent résoudre le problème en s’associant à un fournisseur de services de sécurité géré qui peut non seulement mieux les protéger et répondre aux menaces, mais les conseiller également de survivre à la technologie de sécurité dont ils n’ont vraiment pas besoin», explique Exelby de Red Helix. «Pour résoudre le problème de l’écart de compétences à long terme, un impact sur l’ensemble du secteur, l’éducation est une clé parallèlement à une plus grande diversité.»
L’automatisation est une autre stratégie de sécurité vitale pour aider les PME à s’occuper des lacunes.
«La plupart des petites équipes informatiques ne peuvent pas gérer le désabonnement constant des alertes, des correctifs et des contrôles manuels – c’est pourquoi l’automatisation est essentielle», explique Albert Estevez, CTO sur le terrain chez Zero Networks. «En automatisant la segmentation et le contrôle d’accès, les organisations peuvent réduire les risques et contenir des menaces – sans avoir besoin d’équipes de sécurité de la taille d’une entreprise.»
