“Les PME doivent sensibiliser leurs employés aux cybermenaces, c’est fondamental”

Si la Belgique est plutôt bien classée pour ce qui concerne généralement la cybersécurité, la situation est un peu moins brillante du côté des PME, note Phédra Clouner. “La cybersécurité et l'informatique ne relèvent pas de leur core business. Et puis, il faut des ressources pour assurer un certain niveau de cybersécurité. Or, les PME n'ont souvent pas de responsable informatique ou de CSO.”

Surtout, elles ne sont pas totalement conscientes du fait qu'elles pourraient être la cible de cybercriminels. “C'est pourtant bien le cas! Les cybercriminels savent que les PME ne sont pas toujours sécurisées. Par ailleurs, beaucoup d’entre elles sont des fournisseurs de plus grosses organisations et peuvent être vues comme un maillon faible de la supply chain.” Sans oublier la montée en puissance du cloud computing, avec ses faiblesses spécifiques.

Directive NIS 2: aussi pour certaines PME

Que peuvent faire les PME pour doper leur cybersécurité ? Il existe des solutions simples et peu coûteuses, répond Phédra Clouner: “Ce qui est fondamental, c'est de sensibiliser les employés. Car le phishing au sens large est à l'origine de 80% des cyberattaques. Il peut s’agir d’e-mails, mais aussi d’opérations de smishing ou de vishing.”

Cette sensibilisation peut passer par des programmes de formation à destination des entreprises et de leurs employés, tels que le Managed Security Awareness Program d'Orange Belgium. Les enjeux sont réels, entre autres sur le plan réglementaire. La loi belge transposant la directive européenne NIS 2 est ainsi entrée en vigueur en octobre 2024. “L'Europe prend très à cœur la cybersécurité à son niveau comme à celui des États membres. La cybermenace ne s'arrête pas aux frontières.”

Avec des conséquences bien concrètes pour les PME belges. “Parmi leurs nouvelles obligations, les organisations doivent sécuriser leur chaîne d'approvisionnement. Et c'est ici que les PME entrent en jeu. Si, en principe, la loi NIS 2 ne concerne que les moyennes et grandes entreprises dans certains secteurs, celles-ci doivent adopter des mesures appropriées et proportionnées pour sécuriser leurs réseaux et leurs systèmes d'information. Elles pourraient dès lors leur imposer à leurs fournisseurs ou prestataires de services directs des mesures de sécurité allant jusqu'à disposer d'une certification reconnue dans le cadre de la loi NIS 2, que ce soit l'ISO 27001 ou notre framework de sécurité, le CyberFundamentals Framework.”

L’IA et les cyberattaques

Faut-il s’inquiéter de l’effet de l’intelligence artificielle sur les cyberattaques? Phédra Clouner tient à rassurer: “Certes, l’IA permet de rendre les e-mails de phishing plus crédibles, de créer plus facilement des malwares, de deviner plus aisément les mots de passe, etc. Mais n’oublions pas que l’IA n’est pas uniquement utilisée par les ‘méchants’: les ‘gentils’ en exploitent également tout le potentiel! Pour identifier plus rapidement les anomalies, surveiller plus efficacement les comportements anormaux sur les systèmes, détecter plus vite les logiciels malveillants, et automatiser certains aspects de la réponse aux incidents, mais toujours avec un support humain, évidemment.”

En collaboration avec :