Renforcer la cyber-résilience des PME européennes
Disposant de moins de ressources que leurs consœurs de plus grande taille, les petites et moyennes entreprises (PME) ont souvent du mal à investir dans la cybersécurité. En outre, la plupart des salariés de ces PME n’ont pas accès à une bonne compréhension des menaces. Cela peut les rendre vulnérables aux cybercriminels, même s’ils possèdent des compétences correctes.
«Les attaquants peuvent cibler un grand nombre de PME en même temps en utilisant des méthodes automatisées», explique le coordinateur du projet CyberKit4SME, Luis Carrascal, de Inetum, basé en France.
«Attaquer une PME le long de la chaîne d’approvisionnement permet également aux cybercriminels d’accéder à des systèmes ou à des services auxquels de plus grandes entreprises font confiance. Cela constitue une voie d’attaque attrayante, leur permettant de pirater une cible de plus grande valeur qu’il serait difficile d’attaquer directement.»
Démocratiser les outils de cybersécurité.
Le projet CyberKit4SME, financé par l’UE, vise à démocratiser les méthodes de cybersécurité en adaptant certains outils de protection en ligne aux besoins spécifiques des PME. L’équipe du projet souhaitait avant tout donner aux petites entreprises les moyens de surveiller et de prévoir les risques liés à la cybersécurité, et de les sensibiliser aux différentes menaces.
«En équipant les PME d’outils avancés, peu coûteux et faciles à utiliser, elles seront en mesure de surveiller et de détecter les menaces potentielles sans avoir à recourir fréquemment à des experts en cybersécurité onéreux», explique Luis Carrascal.
À cette fin, cinq outils ont été développés. Il s’agit notamment de Spyderisk, un outil qui automatise une grande partie de la procédure d’évaluation des risques, et de HORM, autre outil d’évaluation des risques qui modélise et visualise le comportement humain et les processus de travail.
L’équipe du projet a également développé Keenaï, un système de gestion des événements et des informations de sécurité (SIEM) qui permet aux utilisateurs de surveiller, à partir d’un point d’entrée unique, l’ensemble de la sécurité du système d’information. L’outil Secure Data Services permet de stocker et de consommer les données de manière sûre et sécurisée.
Enfin, un élément essentiel du projet a été la mise en place du Service Ledger, une plateforme en ligne sur laquelle les PME peuvent partager en toute sécurité des informations relatives à la cybersécurité. L’équipe du projet a aussi élaboré un cours de formation à l’utilisation des outils, ainsi que du matériel pédagogique pour aider les salariés à adopter un comportement plus sûr en ligne.
Succès de la boîte à outils de CyberKit4SME.
Ces outils ont été testés auprès de PME opérant dans quatre secteurs clés: la finance, la santé, l’énergie et les transports. Leur efficacité et leur utilité ont été validées.
«La boîte à outils s’est révélée être un cadre efficace pour l’évaluation et l’atténuation des risques, couvrant l’ensemble du cycle de vie des systèmes et des applications», ajoute Luis Carrascal. «Elle permet d’identifier les menaces, d’analyser les risques et de mettre en place des mesures de sécurité proportionnées à ces risques.»
Les outils contribuent par ailleurs à l’évaluation des facteurs de risque humains et organisationnels, liés à la conception des tâches de travail, à l’attribution des rôles et aux responsabilités. Des technologies avancées de chiffrement et d’isolation ont enfin été présentées pour faire face aux menaces spécifiques pesant sur les données stockées, transférées et traitées dans les locaux et dans l’informatique dématérialisée.
Un environnement numérique européen digne de confiance.
Au final, les PME peuvent mieux se protéger en adoptant de tels outils. «Tous les pilotes impliqués dans notre projet ont exprimé leur désir de continuer à utiliser les outils après l’achèvement du projet», déclare Luis Carrascal.
Certaines des innovations lancées par CyberKit4SME vont maintenant être développées dans le cadre d’un nouveau projet européen, appelé NEMECYS. L’objectif est de continuer à améliorer leur utilité et leur fonctionnalité.
«Le fait que la plupart de nos outils aient été publiés en tant que logiciels libres signifie qu’ils sont facilement disponibles», remarque Luis Carrascal. «L’utilisation de ces outils réduira les dommages économiques causés par les cyberattaques nuisibles et les atteintes à la protection des données, et contribuera à ouvrir la voie à un environnement numérique européen digne de confiance.»
Source: Democratizing a Cyber Security Toolkit for SMEs and MEs - résultat de la recherche de l'UE.