.png)
Étude ESG : comment les petites et moyennes entreprises peuvent remédier au manque de préparation aux violations
Malgré tous nos efforts dans le secteur de la cybersécurité, il est clair que les violations sont toujours inévitables, mais ils ne se limitent tout simplement plus aux plus grandes entreprises du monde.
Au cours d'une conversation récente entre David Holmes, analyste senior de Forrester, et PJ Kirner, directeur technique d'Illumio, ont indiqué qu'en 2021, 63 % des entreprises avaient été piratées sur une période de 12 mois, ce qui leur a coûté 2,4 millions de dollars en moyenne pour détecter et corriger une violation.
Ce chiffre est alarmant et les violations d'entreprises font la une des journaux du monde entier. Mais ce sont en fait les petites et moyennes entreprises (PME) qui constituent le segment de marché le plus ciblé par les attaques de rançongiciels, avec 82 pour cent d'opérations de rançongiciels ciblant des entreprises de moins de 1 000 employés, selon Gartner.
Les violations ne sont plus des cauchemars pour les seules entreprises
Les petites et moyennes entreprises n'ont pas seulement des cibles sur le dos, elles ont été violées avec succès, avec des conséquences majeures.
UNE nouveau rapport du cabinet d'analyse Enterprise Strategy Group (ESG) a interrogé des professionnels de la cybersécurité dans des organisations du monde entier, révélant que parmi les segments des petites entreprises (500 à 2 499 employés) et des moyennes entreprises (2 500 à 4 999 employés), les personnes interrogées sont très incertaines quant à la capacité de leur organisation à résister à un plus grand nombre de violations sans subir de pertes importantes :
- 85 % des petites et moyennes entreprises dont les données et les systèmes ont été pris en otage par une attaque de rançongiciel ont été contraintes de payer la rançon, soit directement, soit par l'intermédiaire d'un fournisseur de cyberassurance.
- La rançon moyenne payée par les petites entreprises était de plus de 333 000 dollars, tandis que la moyenne des moyennes entreprises était de plus de 513 000 dollars.
- Seules 17 % des petites entreprises interrogées pensent que leur entreprise est prête à faire face à une violation, et 57 % pensent qu'une violation est susceptible de devenir un désastre. À titre de comparaison, 21 % des entreprises de taille moyenne interrogées se sentent prêtes à faire face à une violation.
Sur la base de ces réponses, il est clair que les organisations sont conscientes de leur manque de préparation face aux violations, de la possibilité que celles-ci se transforment en catastrophes encore plus graves et que les conséquences d'attaques telles que les rançongiciels entraîneront probablement des pertes financières importantes.
Lire le rapport complet d'ESG ici.
Vous opérez dans un faux sentiment de sécurité ?
Bien que ces résultats soient cohérents avec ce que disent les analystes du secteur, une statistique du rapport d'ESG ressort clairement : 41 % des entreprises de taille moyenne et 44 % des petites entreprises ne partent pas du principe qu'elles seront violées. Il s'agit d'un décalage troublant entre ce que les entreprises disent faire et la manière dont elles fonctionnent réellement.
Si les PME sont très ciblées et ne se sentent pas préparées aux violations, pourquoi n'agissent-elles pas en conséquence ?
Après tout, les PME sont confrontées aux mêmes menaces de sécurité que leurs homologues d'entreprise, mais elles disposent de beaucoup moins de ressources informatiques en personnel et en budget pour concevoir et exécuter leur stratégie de sécurité.
Heureusement, pour y remédier, les PME se tournent vers les fournisseurs de services gérés (MSP) en tant que conseillers de confiance pour fournir une sécurité robuste sans les frais liés à l'autogestion. Les PME adoptent également des cadres de sécurité tels que le NIST CSF, le CIS et le CMMC pour définir des feuilles de route pour leur stratégie de sécurité.
Avantages de la maturité de la segmentation Zero Trust
Selon une autre statistique révélatrice d'ESG, les petites et moyennes entreprises accordent la priorité à Zero Trust, 92 % des petites entreprises interrogées et 90 % des moyennes entreprises interrogées indiquant qu'il s'agit de l'une des trois principales priorités en matière de cybersécurité.
En outre, les personnes interrogées ont été regroupées en trois catégories en fonction de leurs progrès vers la segmentation Zero Trust (ZTS). Seules 7 % des petites et moyennes entreprises ont été incluses dans la catégorie Pionniers, ce qui indique qu'elles avaient avancé la mise en œuvre du ZTS. Bien que de nombreuses organisations reconnaissent l'importance de la segmentation, cette statistique montre qu'il reste encore beaucoup à faire pour atteindre la maturité de la plupart des PME en matière de sécurité.
Il est révélateur de constater que les entreprises qui se sont identifiées comme des pionnières ont constaté des avantages significatifs en termes de sécurité et d'affaires par rapport à leurs homologues qui n'étaient pas aussi avancées dans la mise en œuvre de ZTS.
Selon ESG, les Pioneers bénéficient des avantages suivants :
- 4,3 fois plus susceptibles d'avoir une visibilité complète du trafic dans leur environnement
- 5 fois plus de chances d'avoir une visibilité complète sur tous les types d'architectures d'applications
- Diminution des coûts d'arrêt annuels
- Temps moyen de restauration (MTTR) 68 % plus rapide en cas d'incidents de sécurité
- Deux fois plus susceptibles de se sentir prêts à faire face à des cyberattaques.
Un moyen simple de tirer parti des avantages de la segmentation Zero Trust
Avec des équipes plus petites et un budget moindre, le chemin vers la segmentation et, en fin de compte, la préparation aux intrusions peut être beaucoup plus rapide et plus simple que beaucoup ne le pensent.
Illumio fournit aux PME un outil rapide et facile à utiliser pour gagner en visibilité sur leurs réseaux, contenir la propagation des violations en quelques clics et segmenter les terminaux afin que les attaques n'aient nulle part où aller.
La réduction des risques de violation grâce à Illumio peut arrêter instantanément la propagation des violations en supprimant tous les protocoles utilisés par les logiciels malveillants pour se propager, y compris l'exploitation du protocole RDP (Remote Desktop Protocol), qui a entraîné près de la moitié des attaques au troisième trimestre 2021.
Les responsables informatiques et de la sécurité des PME sont peut-être bien intentionnés lorsqu'ils souhaitent mettre en œuvre la segmentation Zero Trust, mais Illumio propose une solution simple pour renforcer la confiance et la préparation face aux violations inévitables.
Lire le rapport complet d'ESG ici.
Découvrez comment Illumio Zero Trust Segmentation contribue à protéger de manière proactive les petites et moyennes entreprises : illumio.com/solutions/smb
