Parmi les principales difficultés auxquelles se heurtent les MSP, la cybersécurité occupe sans conteste la première place. À mesure que les attaques contre les PME se multiplient, les MSP sont soumis à toujours plus de défis et de pression. Lors d’une présentation, la difficulté consiste à faire admettre aux PME qu’elles sont vulnérables aux attaques. Afin de les convaincre de la nécessité d’investir dans la cybersécurité, les MSP doivent faire preuve de créativité et s’armer de données.
Assiégées, les PME se réfugient dans le déni
L’année passée, les grosses entreprises à forte rentabilité constituaient la principale cible des cyberattaques. Aujourd’hui, les PME subissent ces attaques à la même intensité et à la même fréquence. Au contraire des grandes entreprises, les PME disposent cependant de ressources moins importantes, et sont moins préparées aux conséquences. Pour ne rien arranger, nombre d’entre elles refusent de croire qu’elles constituent une cible de choix pour les attaques.
Selon Datto, 60 % des MSP faisaient état d’attaques de ransomwares contre des PME en 2020, et 11 % comptaient plusieurs attaques par jour contre certains clients. Pourtant, d’après un sondage de BullGuard, 60 % des PME se disent peu à risque de subir une attaque, et une sur cinq déclare ne déplorer aucune faille.
Toujours d’après BullGuard, 50 % des PME affirment que leurs employés ne reçoivent aucune formation en cybersécurité. Moins de 10 % disposent d’un personnel dédié à l’informatique et un tiers s’appuie sur des outils de cybersécurité gratuits ou destinés au grand public.
Cet écart entre la perception et la réalité, les MSP le connaissent bien. Convaincre des PME d’investir dans la cybersécurité relève du défi constant pour les MSP. Ces derniers n’ont pourtant pas d’autre choix que d’y parvenir, car ils sont responsables de la cybersécurité de leurs clients.
Utiliser des datas pour illustrer les présentations
Les données racontent des histoires fascinantes. Il existe une pléthore de rapports trimestriels ou annuels incluant des statistiques précieuses sur les menaces qui peuvent servir à enrichir une présentation. Les articles de presse multiplient les gros titres sur les cyberattaques massives qui visent les grands noms du secteur. Loin de ce sensationnalisme, les rapports exposent quant à eux les particularités inhérentes aux statistiques sur la cybercriminalité, qui s’avèrent plus intéressantes pour les petites entreprises. Les MSP peuvent utiliser ces rapports à leur avantage et ainsi adapter leurs présentations aux PME de toutes les tailles et de tous les secteurs.
Confronter une PME à des données relatives aux menaces de cyberattaques qui pèsent sur les grandes entreprises est le meilleur moyen de l’amener à penser qu’elle est hors d’atteinte. C’est pourquoi nous vous conseillons de vous appuyer sur des rapports et des statistiques qui concernent uniquement des petites et moyennes entreprises. Le coût est également un important facteur de motivation : utilisez les données pour montrer les véritables conséquences financières des attaques sur les PME.
Le fait de pointer du doigt les points faibles de la protection d’une PME vous permet d’orienter la conversation. Par exemple, une PME disposant d’une protection limitée contre les attaques de phishing et ne proposant aucune formation de sensibilisation au phishing à ses employés pourrait beaucoup apprendre en voyant de véritables emails de phishing associés à des statistiques sur le nombre d’attaques de ransomwares orchestrées par simple email de phishing (54 %).
Quant aux PME qui ont besoin d’arguments supplémentaires, elles pourraient être convaincues par des études de cas. Si vous traitez avec un client ou un prospect réticent à investir davantage pour renforcer sa sécurité, montrez alors à ce client comment il est possible d’ouvrir une brèche dans un terminal en particulier, par exemple un email. Vous pouvez également lui faire la démonstration du verrouillage d’un système par un ransomware, ainsi que des conséquences qui en découlent. En tant que MSP, vous disposez probablement d’une expérience de première main précieuse qui saura faire écho auprès de votre client ou prospect.
Enfin, utilisez des statistiques qui correspondent au secteur de la PME. La santé, par exemple, est le secteur le plus ciblé par les cyberattaques, suivi des services financiers et de l’assurance, nous enseignent les MSP de Datto. Les clients et les prospects issus de ces secteurs ont besoin d’exemples concrets d’attaques orchestrées contre des PME de ces mêmes secteurs et des conséquences qu’elles peuvent avoir. Ils ont également besoin de voir en application la solution que vous proposez pour les aider à se prémunir de ce scénario.
Ci-dessous, vous trouverez quelques rapports et sondages utiles que vous pouvez utiliser dans vos présentations :
- Rapport du FBI en matière de cybercrime (IC3) : S’il ne se penche pas uniquement sur les PME, le rapport annuel du FBI IC3 contient toutefois des statistiques pertinentes que vous pouvez utiliser pour illustrer la menace des cyberattaques, y compris une analyse détaillée des types d’attaques assortie des pertes subies par les victimes et des données portant sur ces dernières.
- Rapport de Datto sur les attaques par ransomware: Ressource de choix publiée chaque année et s’appuyant sur des données de sondage collectées auprès des MSP de Datto, ce rapport comporte des statistiques enrichies en données, telles que le coût moyen du temps d’indisponibilité des PME, le montant moyen des rançons versées, les secteurs les plus exposés aux ransomwares et les conséquences commerciales.
- Classement Phishers’ Favorites : bilan de l’année: Le rapport annuel de Vade met en avant les marques les plus usurpées dans le cadre d’attaques de phishing. Le classement Phishers’ Favorites comporte notamment des exemples de véritables emails de phishing et un aperçu des tendances annuelles qui caractérisent les attaques de phishing.
- Rapport de recherches sur la fuite de données: Le rapport annuel de Verizon consacre une section aux failles de cybersécurité des PME, avec des données portant sur la fréquence des attaques, les schémas les plus utilisés, les responsables des menaces et leurs intentions.
