La cybersécurité des PME et ETI repose sur une équation difficile : un niveau de menace en hausse, des environnements de plus en plus complexes et des ressources limitées pour y répondre.
Thierry Defois, directeur des opérations chez ESET France et Afrique francophone, partage sa lecture terrain de ces enjeux.
Pourquoi la cybersécurité est-elle difficile à appréhender pour un dirigeant ?
Thierry Defois : Aujourd’hui, la majorité des PME prennent des décisions de cybersécurité sans vraiment savoir ce qu’elles protègent. Le sujet leur apparaît donc vite comme complexe, anxiogène et difficile à piloter. Pour prendre les bonnes décisions, un dirigeant a d’abord besoin d’une lecture claire de son organisation. Trop d’entreprises ne savent pas précisément ce qu’elles doivent protéger ni ce qui est réellement exposé.
Avant de parler de solutions, il faut déjà être capable d’identifier ses actifs, de comprendre ce qui se passe dans son système d’information et de prioriser les risques. L’essentiel est souvent de rester pragmatique. Beaucoup d’outils sur le marché sont très puissants, mais impliquent d’empiler des couches technologiques, des intégrations et des ressources pour les exploiter. Dans une PME ou une ETI, les moyens sont limités, à la fois humains et financiers. Il faut donc éviter de vouloir reproduire des modèles trop complexes.
Qu’est-ce qui rend certains environnements plus complexes à protéger que d’autres ?
La complexité vient principalement du caractère dynamique des environnements, notamment cloud. Nous ne sommes plus dans des infrastructures figées. Les machines virtuelles, les applications, les workloads évoluent en permanence, parfois de manière éphémère. Dans ces conditions, les approches traditionnelles, qui reposent sur des installations manuelles ou des interventions directes sur les systèmes, montrent vite leurs limites.
Ce que nous constatons, c’est que les environnements cloud sont souvent mal couverts, voire ignorés. Ils sont perçus comme sécurisés par défaut, notamment lorsqu’ils sont hébergés chez un fournisseur, ce qui n’est pas le cas. La difficulté est donc autant technique qu’opérationnelle.
Quelles approches recommandez-vous dans ces cas-là ?
L’objectif est d’être capable de sécuriser sans alourdir les processus, et sans dépendre d’interventions constantes. La protection doit pouvoir s’appliquer automatiquement, sans avoir à accéder à chaque système. C’est dans cette logique que nous avons développé ESET Cloud Workload Protection.
Concrètement, les environnements sont détectés automatiquement et l’agent peut être déployé en quelques clics, de manière centralisée. Cela permet d’appliquer rapidement la protection et de garder les environnements synchronisés, y compris lorsqu’ils évoluent ou sont recréés. On couvre ainsi des périmètres qui, dans les faits, étaient souvent mal sécurisés
▶ [Plus de détails] Cloud : ESET simplifie la sécurisation des environnements dynamiques
Plus globalement, comment une PME peut-elle améliorer le pilotage de sa cybersécurité, au quotidien ?
L’intérêt des approches de type EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response) est justement de centraliser et corréler toutes ces informations. L’organisation passe alors d’une logique d’alertes isolées à une vision plus cohérente des événements de sécurité. Cela permet de prioriser les actions et de gagner du temps. Mais cette capacité n’est utile que si elle est exploitée. Cela suppose donc une surveillance continue. Un EDR sans supervision, dans une PME, ne sert quasiment à rien
Or, peu de PME disposent des ressources nécessaires pour assurer un suivi 24/7 en interne. C’est pourquoi nous observons une forte adoption des services managés. Lorsqu’une entreprise associe une technologie de détection avancée à un service de supervision, elle améliore significativement son niveau de sécurité. Elle passe alors d’une couverture très limitée à un niveau beaucoup plus complet.
Pour une PME, comment évaluer les différentes solutions du marché ?
L’erreur la plus fréquente est de se focaliser sur le prix d’entrée. Le vrai sujet n’est pas le prix, c’est le coût d’un incident. Certaines offres sur le marché sont conçues pour être attractives au départ, mais intègrent des coûts supplémentaires dès que des actions avancées sont nécessaires.
Une surveillance annoncée en continu peut, dans les faits, se limiter à quelques vérifications ponctuelles. La gestion des incidents est également un point clé : il faut savoir qui intervient, dans quels délais et avec quel niveau d’expertise. L’accès à un interlocuteur, la capacité à échanger en cas de problème, sont déterminants pour une PME. Au-delà des outils, la cybersécurité reste un sujet humain.
Il est donc essentiel de raisonner en coût global. Il faut analyser ce que la solution va coûter dans la durée, en tenant compte des services réellement inclus et des conditions d’intervention. L’évaluation doit aussi porter sur le niveau d’expertise. Combien de personnes sont mobilisées ? Le service est-il réellement continu ? Où est-il opéré ? Ces éléments conditionnent directement la qualité du dispositif.
Qu’est-ce que cela implique en termes de ressources ?
La réalité est très différente selon la taille des organisations. Certaines ETI disposent d’équipes internes structurées, mais la majorité des PME n’ont pas de ressources dédiées à la cybersécurité. Les prestataires IT, qu’ils soient intégrateurs ou MSP, jouent alors un rôle central. Ils permettent d’apporter des compétences et une capacité opérationnelle que les entreprises ne peuvent pas internaliser.
La responsabilité d’un éditeur comme ESET s’observe également à ce moment-là. Nous sommes très exigeants dans la sélection de nos partenaires de proximité. Ce sont eux qui opèrent la cybersécurité sur le terrain, auprès des entreprises ou des collectivités.
Au final, l’enjeu pour un dirigeant sera de s’assurer que l’approche retenue est adaptée à la réalité de son organisation. Une solution très complète mais mal exploitée perd de sa valeur. À l’inverse, une approche plus simple, bien maîtrisée, peut couvrir une grande partie des besoins. L’enjeu reste de trouver un équilibre entre niveau de protection et capacité à opérer. C’est cette cohérence qui fait la différence dans la durée.
