Si le risque cyber est aujourd’hui largement médiatisé et connu de tous, bien peu d’ETI, de PME et de collectivités locales disposent d’une sécurité à l’état de l’art. Or une enquête menée par OpinionWay pour Watchguard auprès des décisionnaires de 300 PME françaises montre que 49 % des entreprises interrogées ont déjà été victimes d’une cyberattaque et, pour 29 %, ces attaques ont généré une perturbation ou un arrêt de leurs services !
Les collectivités et PME françaises sont encore très vulnérables et la mise en application de la législation européenne NIS 2 va être un électrochoc pour beaucoup d’entre elles. Certaines seront directement concernées par le texte, d’autre le seront par ruissellement : leurs gros clients soumis au texte vont leur demander des garanties cyber minimales, car le texte introduit le risque lié à la chaîne de valeur. Pauline Ducoin, avocate associée au sein du cabinet Cornet Vincent Ségurel, intervient auprès des entrepreneurs pour les conseiller vis-à-vis de la réglementation et les aider en cas de crise. Elle souligne : « Il y a une grande disparité entre les PME qui sont directement concernées, car les produits qu’elles vendent embarquent une partie technologique. C’est le cas des petits éditeurs de logiciels, des acteurs de l’IoT, par exemple. Et un autre pan des PME n’ont pas du tout conscience des risques qu’elles encourent au quotidien. » Enfin, certaines entreprises sont, à l’instar des grands groupes, beaucoup plus matures sur la question et connaissent les textes qui s’appliquent à leur activité, même si la maîtrise de la législation est de plus en plus difficile.
Tous ces textes et règlements vont pousser des dizaines de milliers d’entreprises françaises à structurer leur organisation cyber et à hausser leurs moyens de sécurité opérationnelle. Vincent Strubel, directeur général de l’ANSSI, souligne fréquemment le passage à l’échelle que va engendre le texte. Lors de la dernière édition de l’InCyber Forum (ex-FIC), il expliquait ainsi : « Je formule l’espoir que ce cadre de référence serve bien au-delà de la régulation, qu’il inspire d’autres, les entités non régulées, parce qu’elles sont encore l’écrasante majorité, car ce n’est pas avec les quelques milliers d’entités encadrées par NIS 2 qu’on va épuiser le sujet. »
Le patron de la cybersécurité française a souligné l’importance de trouver de nouveaux modes d’action pour toucher les petites structures. L’ANSSI a étendu le champ des prestataires référencés pour aller vers des prestations moins exigeantes et moins élitistes. L’agence a aussi créé les services MonServiceSécurisé pour aider les collectivités qui veulent proposer des services en ligne et MonAideCyber à destination des entités publiques et PME. En outre, l’agence vient de lancer un nouveau portail, MesServices.cyber.gouv.fr, qui rassemble toutes les ressources de l’ANSSI. Il se destine aux structures qui n’ont pas de RSSI – et parfois pas de DSI – mais qui pourront ainsi accéder aux guides de l’agence.
L’ANSSI agit au niveau national mais elle a désormais d’autres relais en région. Notons la création de Campus Cyber en Normandie, en Bretagne, en Nouvelle-Aquitaine, à Marseille et dans les Hauts-de-France, ou encore des C-SIRT territoriaux qui se positionnent en complément de l’ANSSI. Irène Weiss, conseillère régionale Grand Est déléguée à la cybersécurité, souligne : « La force d’un CSIRT, c’est d’avoir des humains au bout du fil, de véritables experts, mais surtout de fédérer l’écosystème cyber local grâce au référencement de nos prestataires. » La responsable estime que la création du C-SIRT Grand Est Cybersecurité fut le véritable lancement de la politique cyber régionale. « Nous partions presque d’une feuille blanche : nous proposions des audits mais nous avons réussi à élargir cette action avec des campagnes de sensibilisation et, demain, nous l’espérons, avec le Campus Cyber. »
L’écosystème public cyber a gagné en maturité et de nombreuses aides ont été mises en place pour encourager les ETI et PME à se doter d’un niveau de sécurité minimum. On se souvient notamment de l’opération « Diagnostic cybersécurité », mise en place dans le cadre du plan France 2030. L’aide se composait d’un crédit de huit jours-hommes d’un expert cyber pour diagnostiquer les mesures à prendre pour protéger le SI d’une PME et d’une ETI. Une subvention de 30 000 à 80 000 euros peut ensuite être accordée pour couvrir jusqu’à 70 % des dépenses liées au plan de sécurisation que l’auditeur aura suggéré dans son diagnostic. L’ANSSI, le secrétariat général pour l’investissement en charge de France 2030 et Bpifrance ont lancé l’appel à projets « Soutien aux PME et start-up pour renforcer leurs compétences dans le domaine de la cybersécurité » en septembre 2024. Enfin, le Centre national de coordination cyber français (NCC-FR) a mis en place un programme d’aides financières pour les start-up, ETI et PME, en 2024 également.
De multiples soutiens financiers existent, de même que des structures locales et nationales pour aider les organisations victimes d’un incident de sécurité majeur. Pour autant, les DG et DSI des petites entreprises ne connaissent pas tous ces dispositifs. « Il y a une vraie dynamique mais qui génère aussi une problématique de lisibilité pour les victimes, reconnaît Jérôme Notin, directeur général du GIP Acyma. Cela reste compliqué pour elles de savoir vers qui se tourner en cas de problème. C’est la raison pour laquelle nous avons créé le 17Cyber. Il s’agit de constituer un guichet unique où la personne ou l’entreprise qui a un problème va pouvoir qualifier son incident de sécurité. » Le 1er avril dernier, l’intégration des C-SIRT territoriaux dans le 17Cyber a été annoncée afin que toutes les entreprises et collectivité ne connaissant pas encore leur existence puisse profiter de leur support.
AVIS D’EXPERT
« Nous avons connu une augmentation importante
du trafic. »
Jérôme Notin, directeur général du GIP Acyma
(cybermalveillance.gouv.fr/17Cyber)
« L’année dernière, nous avons connu une augmentation importante du trafic au sens large, puisqu’on a accueilli 5,4 millions de visiteurs, soit + 47 % en un an. Concernant les parcours d’assistance, nous sommes passés de 280 000 à 420 000. La bonne nouvelle est que le nombre de demandes d’assistance concernant les rançongiciels a bien baissé. Il est tombé au niveau le plus bas des quatre dernières années. Cette évolution traduit à la fois un accroissement du nombre d’attaques et aussi une meilleure notoriété de cybermalveillance.gouv et du 17Cyber. Néanmoins, en 2024, il y a eu beaucoup de fuites de données qui ont touché les particuliers, avec notamment une fuite massive chez un opérateur télécom qui a soulevé beaucoup d’inquiétudes. »
AVIS D’EXPERT
« Les PME n’ont souvent pas connaissance des dispositifs mis à leur disposition. »
Pauline Ducoin, avocate associée
au sein de Cornet Vincent Ségurel
« De nombreux dispositifs d’aide ont été mis en place par l’ANSSI et les régions dans le cadre du plan France 2030 mais la difficulté reste que les PME n’en ont souvent pas connaissance. Les patrons de PME ont l’impression qu’il faut forcément faire appel à un prestataire extérieur qui va facturer très cher ses services, notamment en situation de crise. En fait, il y a des dispositifs locaux mis en place par des organismes qui sont disponibles, accessibles et qui vont les orienter vers des professionnels à même de les aider sur le sujet. En cas d’attaque informatique, elles ne savent souvent pas vers qui se tourner. Le patron de PME et son directeur informatique doivent vraiment réfléchir à ce qu’ils vont faire le jour où ils seront attaqués. On sait que ce jour arrivera et il faut s’y préparer. C’est primordial. Il faut mettre en place une politique de gestion des incidents et de gestion de crise. Souvent, les PME perdent un temps précieux lorsque la crise éclate. »
La cybersécurité, un service à haute valeur ajoutée pour les opérateurs
Déjà présents auprès de toutes les PME pour leur fournir de la connectivité, les opérateurs sont bien placés pour proposer des services cyber. Tous ont développé des offres de services dans une approche souvent axée sur les volumes et l’industrialisation. Avec les avantages et les inconvénients du modèle.
Dans un contexte où les opérateurs de télécommunications sont engagés dans une diversification, nombreux sont ceux à avoir lancé des offres cyber à destination des PME. Ces acteurs sont naturellement légitimes auprès de cette cible car ils leur fournissent l’accès Internet ainsi qu’un routeur qui embarque déjà un firewall. De plus, leur maillage fin du territoire français en fait des acteurs de proximité avec lesquels peu d’ESN ou de MSSP peuvent rivaliser.
Leurs offres sont parfois assez simples, comprenant la sécurisation de la messagerie, un antivirus et un service de sauvegarde en ligne mais ce catalogue est souvent beaucoup plus étendu. Les opérateurs participent à la démocratisation de solutions de sécurité qui étaient jusque-là réservées aux grands comptes, comme les EDR/XDR et surtout les SOC.
Un accès aux solutions les plus avancées
Orange a montré la voie avec le lancement, il y a cinq ans maintenant, d’une offre de SOC managé à destination des PME : « Nous nous adressons au segment de marché des PME depuis quelques années maintenant, explique Latifa Ouizgouret, directrice du développement commercial, marketing & relations partenaires chez Orange Cyberdefense (Groupe Orange). Notre offre Micro-SOC a été lancée en mars 2020, elle a beaucoup évolué depuis et continue d’être étendue pour devenir une véritable plateforme cyber pour les PME. »
L’offre Micro-SOC Poste de travail repose sur une technologie EDR qui est gérée par les équipes d’Orange Cyberdefense et qui exploite la connaissance de la menace issue de l’équipe CTI du prestataire. « Cette connaissance est extrêmement importante car on enrichit l’outil de notre connaissance de la menace. Nos analystes ajoutent les nouvelles menaces, les qualifient et traitent les alertes que les technologies nous remontent. Quand nous repérons un indice de compromission chez un de nos clients, nous vérifions la présence des mêmes indices de compromission chez l’ensemble de nos clients Micro-SOC pour anticiper l’attaque. »
Actuellement, Orange Cyberdefense compte 3 000 contrats signés pour son offre Micro-SOC, soit environ 2 millions d’assets surveillés – 3 millions si on ajoute ceux qui sont protégés via les offres SOC customisées d’OCD.
Initialement dédiée à la surveillance du poste de travail pour les PC et les serveurs, l’offre Micro-SOC a évolué depuis son lancement, notamment à travers l’offre Micro-SOC E-mail & Cloud pour les tenants Office 365 ou Google Workspace, puis les offres Micro-SOC Mobile et enfin Micro-SOC Shield. « Avec cette offre, nous allons surveiller la bordure Internet des réseaux, que les clients soient en réseau hybride ou en réseau SD-Wan. C’est souvent elle qui fait entrer le risque. On ne va pas traiter 100 % des alertes mais celles qui représentent le risque le plus important. »
Le leader français prépare le lancement de plusieurs offres dédiées aux PME, avec notamment le patching automatisé, prévu pour le deuxième semestre 2025. Orange Cyberdefense travaille aussi sur des offres de conseil adaptées aux petits clients avec une offre de diagnostic. L’offre de pentest a récemment été refondue et Orange Cyberdefense va en accélérer la promotion sur le marché.
Face au leader, Bouygues Telecom a développé un portefeuille cyber complet articulé autour de la protection de la connectivité, avec filtrage des contenus et de la navigation sur Internet, une gateway basée sur un firewall Next Gen UTM dans le cloud ou le firewall Pack sur Site et enfin une protection anti-DDoS. Le deuxième volet porte sur la protection des postes avec un EDR managé et une protection des mobiles. Enfin, l’opérateur propose une offre prévention & remédiation qui comprend audits, pentests et surveillance via un SOC.
Houda Blondel, responsable marketing réseaux, sécurité et communications d’entreprise au sein de la division entreprises de Bouygues Telecom, détaille l’analyse qui a mené à cette offre complète : « Les PME cherchent des solutions de cybersécurité packagées, simplifiées mais pour autant performantes et habituellement réservées aux grandes organisations. Elles attendent de l’opérateur un accompagnement dans le choix des bonnes solutions mais également dans leur mise en œuvre et leur exploitation dans la durée. » Avec pour volonté d’accompagner la PME vers la maîtrise totale du risque cyber, l’opérateur compte encore étoffer son portefeuille : « Nous allons vers plus d’offres de prestations de service (formations, sensibilisation…), des solutions de protection des données sensibles (PRA, PCA) et une plus grande protection des réseaux, du cloud et des nomades (SASE) », conclut la responsable.
De son côté, Free Pro propose deux offres de cybersécurité pour les PME. « Nos offres reposent sur la connaissance de nos clients et l’expertise d’ITrust, notre centre d’expertise en cybersécurité, explique Denis Laforgue, directeur marketing. Nos ingénieurs en cybersécurité sont basés en France et la souveraineté est assurée puisque les données sont hébergées dans les datacenters de FreePro, également situés en France. Ce sont des offres simples, sans options supplémentaires, tout inclus et faciles à déployer pour des PME qui n’ont pas forcément les ressources qualifiées. » Le portefeuille se compose d’une part de l’offre « Cybersécurité essentielle », incluse dans le pack de connectivité Freebox Pro, avec une analyse des flux en 24/7, une détection automatique des menaces par IA et un moteur de corrélation. Des alertes, diagnostics et préconisations sont envoyés au client. L’entreprise peut aussi opter pour l’offre EDR managé, avec une protection des postes de travail, mobiles et serveurs. La remédiation des incidents de sécurité est assurée par les équipes du SOC basées à Paris et Toulouse.
Face à ces offres que l’on peut qualifier de généralistes car elles s’adressent au plus grand nombre, les opérateurs alternatifs cherchent à se démarquer avec une proposition de valeur un peu différente. C’est le cas de l’opérateur Celeste qui, bien connu pour ses activités fibre et datacenters, a mis la main sur un spécialiste de la cybersécurité en 2021, NBS System. Ce dernier se positionne notamment sur la recherche des vulnérabilités. « Les petites entreprises manquent de visibilité et de connaissances sur leurs vulnérabilités. Elles ne savent pas faire une cartographie de leurs risques et n’ont ni les outils ni les compétences internes pour le faire », estime Simon Fabre, responsable de l’activité NBS System. En outre, NBS System traite le volet humain de la cybersécurité, notamment la sensibilisation des collaborateurs au risque informatique. « Dans un premier temps, nous faisons un travail sur les vulnérabilités de l’entreprise avec des tests d’intrusion (pentests) en ciblant différents périmètres pour reproduire plusieurs scénarios d’attaque. Ces scénarios sont très différents selon qu’il s’agit d’une collectivité locale ou d’une PME industrielle. On adapte le pentest à l’environnement technique, au contexte. » À partir de ce constat, un rapport est livré en fin de mission, indiquant les points forts et les axes d’amélioration possibles et proposant des pistes pour corriger les vulnérabilités découvertes. L’opérateur complète cette offre par un service de scan de vulnérabilités automatique qui est exécuté une fois par mois.
Le second volet de l’offre NBS System porte sur l’ingénierie sociale, lorsque l’attaquant cherche la faille humaine. L’opérateur accompagne les PME pour faire face aux campagnes de phishing et aux tentatives de fraude au président, et propose de l’OSINT, soit la reconnaissance en source ouverte pour rechercher dans le dark Web les données et mots de passe appartenant à l’entreprise. Enfin, les collaborateurs sont sensibilisés au risque cyber notamment via des campagnes de phishing fictives. « Si on se rend compte que le taux d’ouverture est très important, on peut accompagner le client dans la sensibilisation de ses utilisateurs. Nous délivrons des vidéos de sensibilisation aux utilisateurs concernés dans le temps. L’avantage de ce dispositif est un coût très modeste pour l’entreprise et le renouvellement régulier des envois pour garder cette thématique en tête des utilisateurs. » Des ateliers de formation sur site ou en distanciel peuvent aussi être organisés pour renforcer le dispositif. S’adressant au plus grand nombre, les offres cyber des opérateurs sont généralement très compétitives en termes de coût mais aussi très standardisées et automatisées. Sauf exceptions, les PME en quête de sur-mesure et d’un contact humain plus proche préféreront se tourner vers un MSSP local.
AVIS D’EXPERT
« Les exfiltrations de données sont plus fréquentes sur les ransomwares. »
Latifa Ouizgouret, directrice du développement commercial, marketing
& relations partenaires chez Orange Cyberdefense (Groupe Orange).
« Les PME sont confrontées à deux grandes menaces : les ransomwares d’une part et les exfiltrations de données de l’autre. Elles sont moins médiatiques et moins visibles pour nos clients mais elles sont beaucoup plus fréquentes que les ransomwares. La compromission des comptes utilisateurs sur Microsoft 365 est extrêmement fréquente. C’est furtif et ce n’est généralement que le point de départ d’une escroquerie avec un faux ordre de virement, la phase préparatoire d’une attaque par ransomware. »
AVIS D’EXPERT
« L’opérateur se positionne comme
un partenaire naturel. »
Houda Blondel, responsable marketing réseaux, sécurité et
communications d’entreprise de Bouygues Telecom Entreprises
« L’opérateur est l’interlocuteur historique de l’entreprise pour l’ensemble de ses projets de téléphonie fixe/mobile, connectivité réseau, cloud… Il se positionne donc comme un partenaire naturel pour la PME en proposant des solutions packagées qui agrègent le meilleur de la technologie cyber incluant un service de bout en bout : contractualisation, déploiement, installation, facturation, exploitation et services managés. Notre plus-value est d’assurer le côté “managé” des offres, car l’opérateur se doit de garantir le bon fonctionnement du service dans le temps. L’autre plus-value : la capacité à couvrir l’ensemble du territoire et à disposer des expertises et des outils pour intervenir partout, tout le temps, ce qui est crucial en termes de cybersécurité. »
AVIS D’EXPERT
« Les responsables informatiques veulent avoir un interlocuteur unique. »
Simon Fabre,
responsable de NBS System
« Une part prédominante de nos clients sont des PME et ETI et notre stratégie est de faire du sur-mesure pour chaque client. Nos interlocuteurs sont rarement des RSSI. Les entreprises n’ont pas de profil dédié à la cybersécurité et c’est généralement le responsable informatique qui doit gérer l’intégralité de l’informatique dans leur structure. Pour des raisons de facilité, ce dernier veut avoir un interlocuteur unique pour l’accompagner, un référent capable d’avoir une vraie compréhension de ses enjeux métiers. C’est à nous de proposer les offres les plus adaptées à la situation et c’est la raison pour laquelle nous avons créé notre catalogue d’offres cyber en fonction des demandes de nos clients. »
AVIS D’EXPERT
« Nous faisons le choix de faciliter la vie des dirigeants. »
Denis Laforgue,
directeur marketing de Free Pro
« Au regard des résultats d’une étude menée en partenariat avec l’Apave en 2023, nous avons fait le choix d’inclure la première brique de cybersécurité directement dans notre offre de connectivité Freebox Pro, afin que les dirigeants de PME puissent s’appuyer sur notre expertise. Souvent tiraillés par des sujets tous aussi importants les uns que les autres, les dirigeants de PME n’ont que très peu de temps à consacrer à la cybersécurité, sujet pourtant primordial. Nous faisons le choix de faciliter la vie de ces dirigeants et de rendre simple la protection face aux cybermenaces. »
Le marché des MSSP se structure pour préparer NIS 2
Alors que la réglementation monte en puissance avec le spectre de NIS 2 à horizon 2027, dans 82 % des entreprises de moins de 10 salariés, c’est le chef d’entreprise qui assure lui-même la fonction de responsable informatique… et qui doit donc gérer la sécurité de son IT.
Si le sondage OpinionWay pour cybermalveillance.gouv.fr montre que les petites structures sont très largement démunies face au risque cyber, l’externalisation de la sécurité auprès d’un MSSP (Managed Security Service Provider) est la solution unique pour 28 % des patrons de PME interrogés, l’externalisation partielle comptant pour 12 %. Dans 27 % des cas, rien n’est mis en place.
Le modèle managé est en train de s’imposer auprès des PME car celles-ci n’ont souvent pas les moyens d’avoir un RSSI à temps plein, et encore moins de monter une équipe SOC en 24/7. Pour répondre à ce besoin, le groupe Serma a créé une entité MSS (Managed Security Services) pour répondre aux demandes de ses clients : « Notre action porte principalement sur la partie défense, avec la prévention et la détection des attaques et la réponse aux incidents de ces failles d’attaques, explique Khalil Bajnati, SOC Manager for Managed Security Services chez Serma Safety & Security. Nous faisons aussi de la détection des alertes de sécurité via des solutions de supervision, principalement le SIEM. » L’approche du MSSP est de prendre en charge le SOC des clients, que celui-ci soit dans une infrastructure on premise ou dans le cloud. « Notre mission est alors de mettre en place le système, de le configurer avec les bonnes alertes et de nous assurer de la bonne collecte des logs (dans l’environnement du client et, derrière, configurer les alertes de sécurité qui se basent sur ces logs). » Le MSSP peut aussi mettre en place des actions automatisées via un SOAR si le client le souhaite. « Les actions automatisées rendent le temps de réaction beaucoup plus court – notamment en cas d’attaque de phishing – afin d’isoler automatiquement les postes potentiellement concernés. »
Venu du monde de la conformité, Fidens a fait le choix de s’allier à un prestataire de SOC pour proposer cette offre à ses clients. « Si nous avons une activité d’édition de logiciel avec une solution de suivi de la conformité, notre cœur de métier reste le conseil et nous avons souhaité nouer un partenariat avec Cyna, un opérateur de SOC, explique Laurent Galvani, consultant cybersécurité et avant-vente chez Fidens by TVH Consulting. Nous avons toujours eu des clients qui voulaient disposer d’une surveillance de leur cybersécurité en 24/7. Mettre en place un SOC demande énormément de ressources, notamment des experts. Venant du monde du conseil et de la conformité, nous voulions pouvoir leur proposer un tel service. »
Autre MSSP proposant des services cyber aux PME, le montpelliérain SNS Security. La société compte huit sites en France, ainsi qu’une présence au Vietnam pour assurer un service SOC 24 h/24. « Les PME et ETI sont notre cœur de cible et ces clients recherchent avant tout un one-stop-shop, résume Franck Burtin, cofondateur de SNS Security. Ces entreprises manquent cruellement de compétences cyber en interne et, lorsqu’elles trouvent un prestataire cyber compétent, elles lui confient un maximum de prestations. » Si le SOC est en haut de la pyramide des services cyber, le remplacement des antivirus par des EDR est assez fréquent, avant la mise en œuvre d’un XDR. « La nature des projets est vraiment liée au niveau de maturité de l’entreprise. C’est le rôle des sociétés de services de les éduquer et de leur expliquer en quoi le SOC va permettre de sécuriser leur SI en cas d’alerte. La réponse doit réellement être différenciée en fonction de l’entreprise, de son secteur d’activité, car les risques et les menaces ne sont pas les mêmes. »
De plus en plus de MSSP sur les rangs
Beaucoup de MSP vont franchir le pas et se positionner en tant que MSSP. Hermitage Solutions a notamment créé une offre pour les aider à s’engager dans cette voie. Fanny Sicard, ingénieure avant-vente infrastructures, réseaux et sécurité en charge de l’offre MSP d’Hermitage Solutions, explique cette offre : « Nous allons les accompagner pour structurer et standardiser leur offre de services car c’est un secteur qui est très compétitif. Les MSSP doivent fournir des services à haute valeur ajoutée et organiser les processus e le travail de leurs équipes pour y parvenir. Ils doivent apprendre à piloter une activité qui est drainée par une multitude de services et de contrats dont les montants sont relativement faibles. Ils doivent pouvoir connaître l’état du contrat pour chaque client, pour chaque contrat de services et pour chaque offre de services, savoir si celle-ci est rentable ou non. »
L’arrivée de NIS 2 va certainement pousser le marché en ce sens, avec potentiellement des dizaines de milliers de collectivités et PME qui devront se mettre en conformité. Gérôme Billois, Partner Cybersecurity & Digital Trust chez Wavestone, souligne ce point : « La question de ce passage à l’échelle est d’avoir des offres adaptées à chacun. Une PME de 50 salariés n’a pas du tout les mêmes besoins qu’une ETI de 2 000 ou 5 000 employés. Le véritable point de rupture, c’est la présence ou non d’un RSSI ou d’une personne qui porte officiellement cette casquette cyber dans l’organisation. »
Gérôme Billois souligne l’intérêt de s’appuyer sur des MSSP et des offres managées : « Dans les statistiques, on voit aujourd’hui que, dans les grandes entreprises, il y a environ un expert cyber pour 1 000 collaborateurs. Je pense que c’est un bon point de référence. Lorsqu’une structure arrive à 1 000 employés, c’est le bon moment pour nommer un vrai RSSI. En dessous, cette casquette peut être confiée à la personne en charge de l’informatique ou de la conformité. Sous les 500 salariés, la PME va devoir s’appuyer sur les MSSP. » Le passage à NIS 2 va mobiliser tout l’écosystème des fournisseurs informatiques, des MSSP et des opérateurs télécoms pour franchir ce cap décisif pour les entreprises françaises.
AVIS D’EXPERT
« Nous avons trois SOC, ce qui nous permet d’offrir un service 24 h/24. »
Franck Burtin,
cofondateur de SNS Security
« La mutualisation est une recette pour offrir des services SOC compétitifs, notre back end est mutualisé avec le même XDR pour tous nos clients, celui de Sequoia.io en l’occurrence. Sur nos 90 ingénieurs, 40 sont dédiés au MCO (maintien en condition opérationnelle, NDLR), 10 au pentest et 40 au SOC. Nous avons trois SOC, dont un au Vietnam, ce qui nous permet d’offrir un service en 24 h/24. Pour l’EDR, nous proposons la solution de SentinelOne mais nous sommes capables d’opérer avec l’ensemble des EDR du marché si l’entreprise a déjà fait le choix d’une autre solution. Cette approche nous permet de vendre six nouveaux SOC par mois. »
AVIS D’EXPERT
« Le marché des PME demande un accompagnement de plus en plus global. »
Fanny Sicard, ingénieure avant-vente infrastructures, réseaux
et sécurité en charge de l’offre MSP d’Hermitage Solutions
« Le marché des PME et des ETI attend aujourd’hui de son MSP beaucoup plus que la simple livraison de matériels, de logiciels et du support. Il demande un accompagnement de plus en plus global, dans une logique où les PME externalisent de plus en plus la gestion de leur système d’information et leurs partenaires doivent se positionner dans un rôle d’accompagnement stratégique qui va au-delà du seul support. Tous les MSP n’iront pas jusqu’à mettre en place des SOC managés. Ils doivent bien choisir les services de sécurité qu’ils vont proposer à leurs clients. Beaucoup sont trop petits pour aller jusque-là mais ils peuvent proposer les offres Managed Detection and Response des éditeurs. Ils n’auront alors pas besoin d’internaliser des ressources en 24/7. »
Solutions pour PME : les éditeurs revoient leur copie
Domaine réputé ultratechnique et dans lequel il faut littéralement empiler des dizaines de solutions pour couvrir tous les risques, le monde de la cyber a revu sa copie. La simplification et la plateformisation sont à l’ordre du jour.
chaque catégorie de solutions cyber. © Hexatrust
Le sondage OpinionWay pour cybermalveillance gouv.fr, réalisé auprès de 500 dirigeants de TPE, montre que l’antivirus reste l’outil de sécurité numéro 1. 87 % des dirigeants le citent spontanément, devant les dispositifs de sauvegarde (76 %) et le pare-feu (66 %). Les solutions de détection d’attaques de nouvelle génération (EDR, NDR et MDR) n’ont encore que peu percé (12 % de pénétration), de même que les offres SOC (11 %). Finalement, seuls 39 % estiment leur protection d’un bon niveau, 42 % en doutent.
Pour Philippe Guerber, MSSP Lead chez Check Point, la demande des PME vis-à-vis des éditeurs de la cybersécurité a évolué : « Il y a une vraie prise de conscience, notamment sous l’effet de la médiatisation des attaques de phishing et de ransomwares et sur la supply chain. Cependant, la maturité reste très variable selon les secteurs. Certaines PME, surtout dans les domaines de l’industrie ou de la santé, avancent plus vite mais beaucoup restent encore vulnérables, faute de ressources internes dédiées à la cybersécurité. » Le responsable rappelle que, selon l’Observatoire des métiers de la cybersécurité 2024 de l’ANSSI, 50 % des PME françaises n’ont pas nommé de responsable cybersécurité. « Les solutions les plus populaires aujourd’hui sont celles qui concernent la sécurisation des e-mails, les firewalls nouvelle génération adaptés aux environnements PME et les solutions de détection et réponse managées (MDR/SOC). Enfin, de plus en plus d’entreprises songent à sécuriser leurs accès via l’approche Zero Trust. » Son concurrent, Fortinet, propose de nombreuses solutions de son portefeuille produits aux PME françaises : FortiGate (son firewall), ses commutateurs FortiSwitch, les points d’accès Wi-Fi FortiAP, FortiClient (son logiciel de sécurité endpoint) et enfin FortiSASE. « Les PME cherchent des solutions simples à déployer, efficaces et souvent intégrées pour couvrir plusieurs besoins à la fois, résume Olivier Couston, directeur développement commercial et partenariats chez Fortinet France. FortiSASE intègre plusieurs services tels que la sécurité Web, des applications cloud, la gestion des accès VPN et SD-WAN, la prévention des intrusions, la sécurité des données et des utilisateurs ainsi que la connectivité sécurisée pour tous les employés, où qu’ils soient. »
La priorité des PME : sécuriser la messagerie
La sécurité des messageries est un axe fort de la sécurisation des PME, à raison puisque le phishing et le ramsomware sont des vecteurs d’entrée extrêmement fréquents pour les attaquants. Benoît Juvin, Partner Account Manager chez Barracuda Networks, souligne que les PME françaises cherchent surtout à renforcer leur protection Microsoft 365. « Elles ajoutent des fonctions complémentaires pour lutter contre des menaces plus sophistiquées : protection contre la prise de contrôle/compromission de comptes, remédiation, sauvegarde… Ces ajouts viennent compléter l’anti-spam traditionnel, désormais insuffisant à lui seul. Cette tendance est une conséquence directe de l’augmentation des exigences réglementaires (ANSSI, RGPD, NIS 2, DORA…). » La solution la plus populaire de l’éditeur est son offre Cloud-to-Cloud Backup, une sauvegarde SaaS illimitée pour Microsoft 365. « Barracuda a été l’un des premiers fournisseurs du marché à proposer une véritable sauvegarde SaaS illimitée pour Microsoft 365, permettant aux DSI de maîtriser totalement leur coût total de possession du stockage, la gestion du temps de sauvegarde, etc. » Christophe Malapris, vice-président ventes France chez Hornetsecurity, confirme cette
tendance : « Avec l’adoption massive des solutions Microsoft 365 par les PME, leurs dirigeants et les services IT associés ont bien compris qu’aucune solution ne les protégera à 100 %. C’est pour cela qu’ils misent dorénavant sur une approche multi-couches pour renforcer la sécurité des e-mails. Chez Hornetsecurity, l’offre 365 Total Protection rencontre un fort succès. » Cette solution, anciennement éditée par le français Vade, apporte sur un portail unique l’ensemble des solutions dont a besoin une PME : elle couvre la sécurité des e-mails, le backup, la formation et sensibilisation des utilisateurs et apporte également des outils de signature des e-mails et de continuité.
Une autre tendance forte du marché porte sur la sécurité endpoint, c’est-à-dire des postes des utilisateurs et des serveurs. Les campagnes d’attaques de phishing lors de la pandémie de Covid-19 ont montré les limites des antivirus classiques. Un grand mouvement d’équipement en EDR a suivi. Les grands comptes se sont rapidement protégés et c’est au tour des PME de se moderniser : « Parmi nos solutions les plus populaires auprès des PME françaises, on retrouve Sophos Intercept X, notre solution de protection des endpoints, plébiscitée pour son efficacité contre les ransomwares et les menaces avancées », explique Bruno Durand, vice-président des ventes pour l’Europe du Sud chez Sophos. L’éditeur britannique met également en avant son Sophos Firewall pour sa simplicité de gestion et sa capacité à offrir une sécurité réseau performante ou encore sa plateforme centralisée Sophos Central auprès des entreprises de taille moyenne pour une administration unifiée et intuitive de l’ensemble de leur cybersécurité.
Attention à l’origine des solutions
Si tous les géants de la cybersécurité cherchent à pousser leurs offres auprès des PME, Jean-Noël de Galzain, président de l’association des éditeurs français de cybersécurité Hexatrust, s’insurge contre la perte de souveraineté que cela engendre. L’association a présenté un nouveau service baptisé HexaDiag lors du Forum InCyber 2025 : « C’est un service cyber en ligne que nous avons conçu avec les membres d’Hexatrust et l’aide de consultants. Il est au service de toutes les PME et de toutes les collectivités locales qui ont besoin de s’équiper. C’est un outil facile à utiliser et qui permet de se livrer à un premier diagnostic cyber en moins de 30 minutes. L’outil va ensuite recommander des solutions qui répondront aux besoins identifiés. » Le message est clair : il existe des alternatives françaises et européennes à ces offres, d’autant plus à l’heure où les tensions commerciales avec les États-Unis sont réelles.
Des éditeurs de solutions de sécurité français, il y en a beaucoup, dont d’XDR Tehtris qui cible justement les PME. Nicolas Perrodo, vice-président Europe de l’Ouest et Moyen-Orient chez Tehtris, explique l’approche de l’éditeur : « Nous fournissons une plateforme globale de XDR qui comprend plusieurs modules. Sur le plan technique, elle répond aux attentes de toutes les entreprises mais d’une façon différente. L’intérêt pour une PME est de pouvoir s’appuyer sur une plateforme globale et de disposer d’une tour de contrôle unique sur son système d’information. » La toute dernière évolution de la plateforme Tehtris Cyberia Protect, la Release 14, voit l’arrivée d’un nouveau tableau de bord justement dédié à l’utilisateur final : « La plateforme peut être opérée par un partenaire MSSP et cette nouvelle console délivre des KPI très simples au consommateur final pour avoir une vue globale sur l’état cyber de leur parc, explique Marie-Christine Ribeiro, vice-présidente produits chez Tehtris. L’idée était de compléter les outils existants avec une vue plus orientée utilisateurs pour présenter simplement et à l’instant T si l’état des postes est vert, orange ou à risque. »
Les PME passent d’une approche réactive à proactive face aux cybermenaces. Leur maturité augmente, poussée par les exigences des donneurs d’ordre et les obligations réglementaires. On observe une meilleure compréhension des risques cyber en tant que risques business. Les investissements en cybersécurité sont désormais considérés comme stratégiques et non plus comme de simples coûts. Cette progression reste toutefois inégale selon les secteurs d’activité et la taille des entreprises. »
Mikaël Masson, P-DG de Dream On Technology
Acteur de poids en France, Stormshield, filiale d’Airbus Defense & Space Cyber Programmes, équipe à ce jour près de 10 000 PME françaises, principalement avec ses solutions firewalls SNS (Stormshield Network Security). Sébastien Viou, directeur cybersécurité & management produits chez Stormshield, souligne : « La demande évolue par capillarité dans le cadre des relations des PME avec des entreprises plus grosses. Les réglementations, comme NIS 2, permettent au ruissellement de la cybersécurité de prendre forme : les plus grosses organisations demandent aux plus petites de se conformer aux mêmes exigences réglementaires pour éviter que ces dernières ne servent de point d’entrée aux fameuses supply chain attacks. »
De fait, les start-up doivent s’équiper de solutions au-delà du triptyque antivirus/firewall/VPN. Elles s’intéressent désormais à des solutions qui étaient l’apanage des grands comptes. C’est le cas des SOC via les XDR managés et aujourd’hui des solutions de gestion de crise : c’est ce que propose la solution SaaS PanicSafe de la start-up française Dream On Technology. Son P-DG, Mikaël Masson, explique son positionnement sur le marché PME : « Les PME françaises recherchent principalement des solutions pour renforcer leur cyber-résilience car les grandes entreprises – dont elles sont parfois sous-traitantes – exigent des preuves de leur niveau de sécurité. » La solution de l’éditeur offre une approche globale de la gestion de crise, incluant des fonctionnalités de communication sécurisée, de coordination d’équipe et de suivi des incidents en temps réel. Des modules de formation et de simulation complètent l’ensemble afin de préparer les équipes à faire face aux situations d’urgence.
AVIS D’EXPERT
« Les offres managées sont une tendance de fond. »
Benoît Juvin,
Partner Account Manager chez Barracuda Networks
« La majorité des partenaires que nous rencontrons souhaitent proposer des offres de cybersécurité en mode service. Grâce à sa plateforme unique, Barracuda permet de couvrir la protection des e-mails, des applications, des données et bien plus encore. Elle s’adresse parfaitement aux partenaires qui souhaitent lancer ce type d’offres, sans la complexité liée à la gestion de plusieurs fournisseurs, interfaces, supports ou au manque d’intégration entre les solutions. Notre guichet unique répond ainsi pleinement à cette demande de consolidation des fournisseurs exprimée par les MSSP. »
Alain Clapaud
