Confrontées à une pénurie de candidats dans le secteur de la cybersécurité, les petites et moyennes entreprises françaises peinent à atteindre un niveau de protection suffisant. La situation est telle que les entreprises se demandent désormais si elles doivent ou non accepter de payer les cyberrançons.
Manque de candidats
Le cabinet Wavestone, spécialisé dans le conseil en transformation des entreprises, a récemment révélé qu’alors que 37 000 postes cyber devait être créés d’ici à 2025, 15 000 postes déjà existants étaient encore à pourvoir. « Il y a peu de temps, on pensait qu’on manquait de formation en cybersécurité et on en a créé. Malheureusement, aujourd’hui, elles ne sont remplies qu’à 50%. Il faut aller plus loin et travailler sur l’attractivité de nos métiers », résume Gérôme Billois, associé chez Wavestone.
« Sans cyberpompiers, les entreprises ne peuvent pas se défendre, à l’instar des acteurs publics. Et pour recruter un grand nombre de ces cyberpompiers, il nous faut augmenter l’attractivité de la cybersécurité auprès des jeunes », estime pour sa part Yann Bonnet, directeur général délégué du Campus Cyber.
Des jeunes mais également des moins jeunes, car il n’y a pas d’âge pour s’intéresser au cyber. « Nous voulons casser l’idée selon laquelle si on n’est pas tombé dans la marmite de la cybersécurité quand on était petit on ne peut pas y travailler », explique Guillaume Poupard, directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information).
Quid des cyberrançons
Et puisqu’elles manquent de « cyberpompiers », les entreprises sont de plus en plus la cible de hackers, qui volent des données sensibles et demandent des « cyberrançons » en échange de leur non-divulgation. Et dans ce cas, qu’elle est la marche à suivre pour les entreprises ? Officiellement, « la recommandation du Trésor est de ne pas payer, c’est une solution de dernier recours », rappelle Quentin Guerineau, de la DGT (Direction générale du travail).
Mais même si elles ne devraient pas, certaines entreprises payent les rançons, au risque d’être la cible de nouvelles attaques et d’octroyer des moyens supplémentaires aux cybercriminels. Et les PME sont souvent poussées en ce sens par leur assureur, qui font pression sur elles « pour payer la rançon si celle-ci s’avère moins élevée que les coûts de remise en état ».
Alors qu’au contraire, les entreprises devraient plutôt prévenir que guérir. « Mieux vaut aider les PME à s’équiper », assure Jean-Noël de Galzain, président d’Hexatrust, association fédérant plusieurs sociétés françaises de cybersécurité. « Il est bien plus important d’investir dans une cyberassistance spécialisée. Traitons la cause avant la conséquence », abonde Sandra Maury, directrice de la sécurité informatique de Kyndryl France.
Jonglant entre assurance et cybersécurité, la start-up Stoïk propose une solution intermédiaire, offrant des outils de sécurité et une couverture assurance en cas de défaillance. « Nous ne proposerons (toutefois) pas d’indemniser le paiement de la rançon, pour des questions éthiques et économiques. À long terme, nous estimons que c’est tirer une balle dans le pied de tous les acteurs économiques et un mauvais signal envoyé aux PME. Ce qui compte, c’est la prévention et la pédagogie », prévient Jules Veyrat, le PDG de Stoïk.
