Légiférer sur la cybersécurité des PME ?

Cinq sénateurs américains proposent un paquet législatif visant à renforcer la posture de sécurité informatique des PME outre-Atlantique. Il s’agit en fait de reproduire, à l’échelle de ces entreprises, le modèle sur la base duquel le NIST, l’organisme américain chargé de la définition des standards technologiques, avait élaboré un framework pour améliorer la sécurité des entreprises, « un guide complet, basé sur le volontariat, pour que les entreprises et les organisations gèrent mieux et réduisent les risques de cybersécurité ». 

Sans surprise, certains s’interrogent déjà sur l’efficacité d’une telle initiative basée non contraignante, à plus forte raison alors que la majorité des PME n’ont pas conscience d’être menacées et ne disposent pas même d’un responsable informatique. Pourtant, déjà en 2013, Symantec indiquait que les attaques visaient plus de PME. A l’heure des rançongiciels, cela paraît plus vrai que jamais. Et pas uniquement outre-Atlantique.

En France, les premières conclusions de l’étude Ipsos/Navista sur l’informatique des PME donnaient, début 2015, l’image d’entreprises connaissant les risques, mais qui n’en tirent aucune mesure. A la même période, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) s’était saisie du sujet, notamment avec un guide élaboré avec la CGPME, et concentré autour de 12 conseils simples et pragmatiques. Mais pour quel succès ?

La question apparaît d’autant plus légitime qu’en juin dernier, l’édition 2016 de l’étude du club de la sécurité de l’information français (Clusif) sur les menaces et pratiques de sécurité en France faisait ressortir une maturité qui stagne, selon les propres termes de Lionel Mourer, du cabinet Atexio, responsable de ces travaux et de la partie entreprises de l’enquête. Avec un point positif tout de même : le nombre de RSSI progresse dans les entreprises.