Protection des données personnelles : des PME prises en flagrant délit de négligence ?

Une étude Ifop pour Euler Hermes et Kaspersky dresse un aperçu peu réjouissant de l’état de préparation des PME françaises face aux menaces informatiques. Conduite début novembre auprès d’un échantillon représentatif de 702 décideurs de PME, elle fait ressortir une réelle inquiétude, pour 76 % des sondés. Et ils sont aussi 64 % à déclarer que la cybersécurité est une priorité. Il y a de quoi : 21 % des PME auraient été confrontées à un incident de sécurité informatique au cours des 12 derniers mois.

Mais passer des paroles aux actes ne semble pas bien simple : seulement 19 % des sondés indiquent que des investissements sont déjà prévus. Mais cela tient peut-être à un écart entre le coût de ces investissements et ceux des incidents : ces derniers ne dépassent pas 10 000 $ pour 64 % des sondés ; ils ne sont que 14 % à avancer un coût de plus de 51 000 €, et 6 % au-delà de 100 000 €.

En fait, le sujet apparaît mal maîtrisé et appréhendé de manière brouillonne. Ainsi, 77 % des PME n’ont pas réalisé d’audit informatique en 2018 – et jusqu’à 82 % dans le secteur des services. Mais cela n’empêche pas les sondés d’émettre un jugement sur le niveau de sécurité informatique de leur entreprise, et même de le trouver bon pour 49 %, voire excellent pour 9 %. Il faut dire que seulement 23 % des sondés disposent d’une équipe dédiée pour piloter le sujet. Dans 61 % des cas, c’est à l’équipe informatique que revient la politique de sécurité. Mais l’équipe dirigeante est toutefois impliquée chez 45 % des sondés.

Faute d’une granularité plus poussée, le sondage donne l’image d’une approche très conservatrice de la sécurité, dans l’outillage retenu. La protection réseau est mentionnée par 67 % des sondés, devant celle des postes de travail (61 %) ou encore l’adoption d’une charte de sécurité interne (60 %). La gestion des identités n’est mentionnée que par 44 % des sondés.

La formation des utilisateurs pourrait apporter une aide, potentiellement à moindre coût, surtout que les e-mails frauduleux ressortent comme la principale menace perçue, mais seulement 51 % des entreprises y font recours. L’assurance pourrait aider également. Mais là encore… seulement 43 % des sondés indiquent que leur entreprise y fait appel.

Euler Hermes et Kaspersky replacent ces résultats dans le contexte du règlement général de protection des données européen, entré en vigueur fin mai dernier. Et ils soulignent que 45 % des PME n’ont pas encore renforcé leurs mesures de sécurité. Alors même que 71 % traitent des données personnelles et / ou confidentielles.