Le dernier rapport de Kaspersky intitulé « Cybersécurité des PME : comprendre les failles, combler les manques, identifier l’essentiel » révèle que 26 % des responsables informatiques européens déclarent que les cadres exécutifs de leur entreprise ne saisissent pas le réel intérêt commercial de la cybersécurité. Cette divergence souligne une fracture structurelle entre les priorités affichées lors des conseils d’administration et la réalité des besoins en matière de dispositifs de cybersécurité.

Dans les équipes de sécurité des entreprises européennes, la pression opérationnelle est omniprésente et toutes les personnes en charge doivent mettre les bouchées doubles : pour près d’un tiers (31 %) des responsables informatiques, le suivi des menaces potentielles est un travail à plein temps. De plus, ils sont un sur cinq (20 %) à se sentir submergés par le nombre d’alertes, peinant à faire le distinguo entre les incidents critiques et les signaux parasites. Pour ne rien arranger, 18 % des répondants déclarent passer plus de temps à résoudre des problèmes liés à des outils défectueux plutôt qu’à se défendre contre des menaces réelles et à lutter contre les cyberattaques. Le constat est clair : les efforts déployés sont importants, mais leur impact reste limité. Autre ombre au tableau, 18 % des responsables interrogés trouvent que les solutions de sécurité ralentissent les flux de travail ou la production : ces obstacles opérationnels se traduisent déjà par des atteintes aux activités commerciales.

Lutte contre les cybermenaces, lutte pour se faire entendre : même combat ?

Les menaces qui ciblent les entreprises sont protéiformes, Dans les entreprises européennes, les portes dérobées (24 %), les chevaux de Troie (17 %) et les downloader « not-a-virus » (16 %) sont les plus répandus. Elles sont également de plus en plus régulières et de plus en plus massives. A titre d’exemple, en septembre, la cyberattaque qu’a subi Jaguar Land Rover a contraint l’entreprise à mettre en pause ses activités pendant près d’un mois, équivalent à une perte d’environ 57 millions d’euros par semaine.

Les chiffres alarment et pourtant, les lacunes des cadres dirigeants en matière de prise de décision liées à la défense augmentent l’exposition des entreprises et de leurs actifs. En effet, plus d’un quart (26 %) des responsables informatiques interrogés affirment que leurs homologues du comité de direction ne comprennent pas pleinement la dimension stratégique de la cybersécurité, freinant les initiatives visant à améliorer les dispositifs de défense. 21 % d’entre eux s’inquiètent de la pénurie de spécialistes qualifiés, conduisant la plupart des PME à s’appuyer sur leurs équipes IT généralistes (35 %) ou sur des experts en cybersécurité intégrés à ces équipes (25 %). Seules 29 % des entreprises sondées disposent d’une équipe dédiée à la cybersécurité, et à peine 7 % confient cette mission à des partenaires externes directement impliqués dans la conception et la gestion de leur sécurité. Paradoxalement, en interne, la satisfaction est élevée : 76 % se disent satisfaits des experts cybersécurité intégrés, 72 % de leurs départements IT dans leur ensemble, et 81 % de leurs équipes de cybersécurité internes, signe d’un écart de perception entre la performance perçue et l’exposition réelle aux risques.

Afrique du Nord, Centrale et de l’Ouest : état des lieux et organisation

Au-delà de l’Europe, l’étude met en lumière des tendances marquées dans plusieurs pays d’Afrique francophone. Le manque de sensibilisation à la cybersécurité parmi les dirigeants apparaît le plus fortement en Tunisie, où 47 % des décideurs sont jugés insuffisamment sensibilisés, contre 28 % dans l’ensemble de la région. Le Cameroun se distingue par le plus grand manque de personnel qualifié, avec 33 % des répondants qui pointent cette pénurie, contre 24 % en moyenne. Le Sénégal signale la plus forte exposition à un flot d’alertes de sécurité, à 30 % contre 23 % dans l’ensemble, tandis que la Tunisie est aussi le pays où l’absence d’une plateforme fiable et abordable est la plus souvent citée, à 32 % contre 24 % en moyenne.

Les attentes en matière d’accompagnement varient sensiblement selon les marchés. Les formations de sensibilisation durables et à long terme trouvent le plus d’écho au Maroc, citées par 33 % des répondants contre 26 % en moyenne. Dans le même temps, 30 % des PME marocaines souhaitent que leur partenaire idéal agisse comme une équipe d’experts externes disponible à toute heure. Au Cameroun, la responsabilité de la cybersécurité revient le plus souvent à l’équipe informatique générale, pour 45 % des entreprises contre 37 % en moyenne, alors qu’en Tunisie, les organisations sont plus susceptibles de disposer d’une équipe dédiée à la cybersécurité, à 42 % contre 30 % en moyenne. En Côte d’Ivoire, 35 % des PME s’appuient sur des équipes internes et 20 % sur des partenaires externes, un taux plus de deux fois supérieur à la moyenne régionale de 9 %.

Ce que les PME attendent de leur partenaire

Les critères de choix d’un partenaire de confiance reflètent également des priorités locales. Au Cameroun, 43 % des PME attendent avant tout l’élaboration d’une stratégie à long terme et sur mesure, contre 36 % en moyenne, et 45 % valorisent la mise en place d’une sécurité de fond qui ne ralentit pas l’activité, contre 32 % en moyenne. Au Sénégal, les outils automatisés capables de répondre instantanément aux incidents sont jugés essentiels par 45 % des répondants, contre 26 % en moyenne, alors que la formation arrive en dernier, à 15 % contre 26 % en moyenne. Le recours à une équipe d’experts externes disponible en continu séduit 40 % des PME en Côte d’Ivoire et 30 % au Maroc, pour une moyenne régionale de 24 %. En Tunisie, les interventions directes lors d’incidents sont davantage valorisées, à 30 % contre 25 % en moyenne. Les explications en langage clair résonnent particulièrement au Cameroun, à 27 % contre 19 % en moyenne. Enfin, le Sénégal à 30 % et la Tunisie à 28 % recherchent plus souvent un conseiller ou un partenaire de confiance, contre 19 % en moyenne, le Sénégal affichant aussi une préférence plus marquée pour un spécialiste externe opérant comme une ressource interne, à 25 % contre 15 % en moyenne.

Ces résultats confirment qu’une approche unique ne suffit pas. Les PME d’Afrique du Nord, Centrale et de l’Ouest expriment des attentes précises en matière de compétences, de disponibilité, d’automatisation et de pédagogie. L’accompagnement doit donc s’adapter à chaque contexte national pour réduire l’exposition aux risques tout en protégeant la continuité d’activité.

« Ce qui frappe, ce n’est pas le manque d’outils, mais le manque de cohérence. Les signaux d’alerte arrivent plus vite que les décisions ne sont prises : les contrôles et les processus s’entrechoquent, et la question de la responsabilité se dilue précisément au moment où il faudrait passer à l’action. Dans de nombreuses PME, la sécurité au quotidien repose encore sur des équipes IT généralistes ou sur un seul expert dédié, forcé à faire cavalier seul. Avec seulement 29 % d’entreprises disposant d’une équipe cybersécurité à part entière, cette fragilité se ressent à chaque incident et dans chaque chaîne de prise de décision. Résultat : une exposition silencieuse, un traitement des priorités ralenti, des informations qui se perdent, et des problèmes opérationnels qui s’accumulent pour devenir des risques stratégiques. Il est urgent que les décideurs renforcent leurs équipes de sécurité en leur mettant à disposition les investissements, les solutions et le personnel adéquats. Surtout, ils doivent reconnaître que la cybersécurité est un enjeu business à part entière et combler le fossé qui persiste entre les priorités du comité de direction et la réalité du terrain. » commente Tony Audoin, Head of Channel de Kaspersky France.

Le rapport « Cybersécurité des PME : comprendre les failles, combler les manques, identifier l’essentiel » est disponible en intégralité ici.

Source : Communiqué

