Les PME PMI (ou petits organismes publics) sont aussi dépendantes de leur système d’information que les grandes entreprises ou organismes. Leur ouverture aux réseaux externes en 2010 est importante (environ 80% des PME/PMI françaises utilisent Internet pour leurs échanges).
Pire, un incident de sécurité majeur peut conduire une PME PMI à déposer son bilan alors qu’il ne sera que « très douloureux » pour une grande entreprise.
Un ratio souvent cité dans la profession, mais dont nous n’avons pas pu vérifier la véracité, est que 70% des PME & PMI, touchées par un incident de sécurité majeur de leur système d’information, déposent leur bilan dans les 3 ans, soit le même ratio que pour le cas d’un incendie important.
La difficulté dans les PME PMI réside dans les ressources qu’elles sont capables d’allouer à la sécurité de l’information. Plusieurs pistes sont envisageables pour optimiser la compétence et les budgets pour atteindre un niveau de sécurité suffisant.
Parmi ces solutions, il faut envisager :
Dans les cabinets de conseil en sécurité, on entend souvent que les dirigeants de PME/PMI françaises attendent un accident pour engager des moyens. Plutôt que de les accuser, il serait bienvenu de leur offrir une démarche adaptée à leur taille, avec des budgets précis et un engagement sur des résultats tangibles.
Certaines CCI ou DRIRE ont démarré ces démarches (Pays de la Loire, Alsace, Rhône), et des méthodes d’analyses de risque orientées PME/PMI apparaissent (majoritairement en anglais) ou certaines sont adaptées en terme de démarche aux contraintes des PME/PMI.
En 2012, plus de 50% de PME PMI (moins de 250 personnes), mais également des sociétés importantes ne disposent pas d’un poste de RSSI, pour des raisons budgétaires évidentes, mais également par difficulté à le positionner entre « risk manager » et technicien.
L’externalisation de la fonction de RSSI est à envisager, notamment lorsque l’entreprise est en période de démarrage d’un projet sur la sécurité de l’information.
Cette externalisation est intéressante alors sur plusieurs aspects :
A contrario, cette solution d’externalisation semble moins pertinente dès que la société a atteint une maturité sur ce domaine et le recrutement (interne ou externe) est alors certainement nécessaire.
Il peut exister des réticences à confier une telle mission à une personne externe à la société, notamment :