Un chiffre alarmant révélé par une enquête : 80% des PME françaises ne respectent toujours pas le RGPD, près de six ans après son entrée en vigueur. Un constat qui illustre la fragilité persistante des petites structures face aux enjeux de cybersécurité. Comment expliquer cette vulnérabilité chronique des PME et quelles solutions pour inverser la tendance ?
00:00On continue nos interviews dans Smart Cyber, dans cette édition spéciale avec Pascal Ledigolle.
00:09Bonjour.
00:10Bonjour.
00:10Vous êtes directeur France chez WatchGuard Technologies.
00:13Vous avez publié un sondage réalisé auprès de 120 de vos partenaires MSSP.
00:17Ce sont en fait ceux qui opèrent la cybersécurité pour des entreprises.
00:21Pourquoi est-ce que vous êtes allé chercher ces intermédiaires pour sonder la cybersécurité auprès des PME ?
00:28On avait déjà fait un sondage il y a un an en direct avec des PME, des PME de 100 à 300 postes.
00:36Et justement le sondage s'était terminé sur une question vis-à-vis de leurs prestataires.
00:44Et ces entreprises avaient répondu à 97% qu'elles faisaient confiance à leurs prestataires pour la cyber.
00:49Et donc elles passent en majeure partie par des prestataires externes pour la cybersécurité.
00:54Oui, quasi toutes.
00:54Et donc c'était tout à fait naturel de se dire dans un deuxième temps on va faire un sondage,
00:59on va interroger des MSP qui font la sécurité en PME, nos partenaires,
01:03mais aussi certains ont répondu qu'ils ne sont pas nos partenaires.
01:06Ça nous intéressait aussi d'avoir les deux avis.
01:08Ok, très bien.
01:09Alors moi j'étais étonnée par ce chiffre.
01:1080% des PME ne sont pas conformes au RGPD.
01:14C'est la vision des MSP dans la PME.
01:18Pour eux, leurs clients effectivement ne sont pas conformes à la RGPD.
01:21C'est vertigineux.
01:23Oui.
01:24Alors après c'est une de leurs estimations à eux, c'est leur angle de vue.
01:29A titre personnel, je pense qu'ils ne sont pas très loin de la réalité.
01:33Parce qu'effectivement, alors dans le sondage précédent,
01:36on avait un peu malicieusement posé la question si les gens allaient se mettre en conformité avec la RGPD.
01:41Et 60% nous ont répondu oui.
01:43Oui, donc ça voulait dire que ce n'était pas fait.
01:44Ça veut dire qu'ils n'y étaient pas déjà.
01:46Alors autre enseignement, 50% des PME n'investissent en cybersécurité qu'après avoir subi une attaque.
01:52Oui, ça c'est un comportement qu'on voit très souvent.
01:55Tant que la PME est passée entre les gouttes, elle se dit qu'elle va continuer à passer entre les gouttes.
01:59Et par contre...
02:00Il faut avoir survécu à la cyberattaque.
02:02Il faut avoir survécu, il ne faut qu'il n'y ait pas trop de dommages, il faut pouvoir investir derrière.
02:05Mais effectivement, souvent, il faut ce comportement-là, cette attaque qui génère le comportement d'investir, qui n'est pas forcément le bon réflexe.
02:13Est-ce que ces PME ont tendance à plus facilement payer des rançons quand on leur demande via un logiciel malveillant que des grandes organisations ?
02:21Ou pas forcément ?
02:22Alors, c'est une des questions du sondage.
02:24Et les MSP nous disent que pour eux, c'est à peu près une sur 4 qui paye la rançon, ce qui est loin de ce qu'on peut se dire.
02:31Alors, une fois de plus, c'est une question posée, ce ne sont pas des statistiques, donc il faut le prendre avec des pincettes.
02:37Mais ça veut quand même dire que nos MSP voient quand même beaucoup de PME qui payent les rançons.
02:42Beaucoup, oui.
02:43Ces menaces justement par rançongiciel, ça fait partie des choses, j'imagine, les plus redoutées par les petites et moyennes entreprises,
02:52parce que ça touche directement aux porte-monnaies de l'entreprise qui peut être fragile économiquement.
02:57C'est celle qui a le plus d'impact.
03:01C'est celle qui va bloquer le système parce qu'on a chiffré les données et qu'on ne peut plus utiliser les machines.
03:06C'est celle où il va y avoir cette fameuse demande de rançon.
03:09Avec cette pression financière.
03:10Avec la pression financière, mais aussi la pression sur la production.
03:13Parce que tant qu'on n'a pas remis en route, une PME, ça lui coûte très très cher de ne pas se remettre en route.
03:18Donc, effectivement, c'est la menace numéro une.
03:22Dans le sondage, on voit la menace qui est à 10%, c'est l'espionnage industriel.
03:27Ce qui pourtant est assez grave.
03:29Et pourtant, elle n'est qu'à 10%.
03:31Enfin, 11%.
03:32Derrière, c'est les fuites de données, je crois, qui sont particulièrement redoutées.
03:36Parce que là, c'est la question de la responsabilité aussi vis-à-vis de leurs clients.
03:39Tout à fait.
03:39Mais c'est bien de le voir en deuxième position.
03:41Parce que pendant longtemps, les fuites de données, on ne voulait pas les voir.
03:44D'accord.
03:45Donc, on avance dans la prise de conscience sur les cyber-risques.
03:49Est-ce que vous voyez des freins, justement, à une meilleure protection des PME ?
03:53Oui, plein.
03:56Les MSP nous ont répondu sur ce sujet.
04:01En fait, la cyber dans la PME, c'est la chose la plus compliquée à faire.
04:05Parce qu'on essaye de faire comprendre à des gens qui n'ont pas la connaissance cyber ce qu'il leur faut.
04:10Donc, c'est toujours compliqué, forcément.
04:12Il n'y a pas la connaissance.
04:14Il n'y a pas assez de budget.
04:14Mais aussi bien dans la PME, mais parfois aussi chez les prestataires de services qui ont énormément de mal à recruter les talents qui vont bien aussi.
04:23Donc, si on veut aider la PME sécurisée, il va falloir aussi aider les MSP à se développer et à monter leur niveau de cybersécurité.
04:30J'étais quand même beaucoup moins étonnée par votre résultat sur la directive NIS2.
04:37Parce que je me suis dit, si 80% des PME ne sont pas conformes au RGPD, ça ne m'étonne pas tellement qu'elle soit 86% à ignorer complètement cette directive qui va bientôt être adoptée, a priori, en France, en tout cas dans sa version transposée.
04:54Ce n'est pas une grande surprise.
04:56Ce n'est absolument pas une surprise.
04:57En plus, sont-elles ou non concernées ? Très compliqué aujourd'hui à savoir si on entre dans le champ direct de NIS2.
05:06Il y a 160 000 PME en France.
05:08Donc, il y en aura peut-être, au grand maximum, 20 à 30 000 de touchés.
05:13Donc, c'est vrai qu'il manque un gap.
05:17Après, on constate, quand on parle de NIS2, une entreprise, on voit ce résultat-là, mais parfois même à des prestataires informatiques qui ne se sont pas penchés sur NIS2.
05:27Merci beaucoup, Pascal Ledigold, d'avoir été avec nous et de nous ouvrir les yeux comme ça, de cette façon.
05:32Je rappelle que vous êtes le directeur France de WatchGuard Technologies.
05:35On termine cette édition Smartech avec notre rendez-vous Culture C.
Écris le tout premier commentaire