Sécurité de la messagerie

MSP : comment vendre une solution de cybersécurité aux PME trop optimistes

Adrien Gendre

19 septembre 2019

6 min

Arrêtez-moi si vous avez déjà entendu cet argument : « Peu de chances que cela nous arrive. » Cette phrase revient souvent parmi les PME qui ne souhaitent pas investir dans la cybersécurité. Lorsqu’elles sont invitées à acquérir de nouvelles solutions dans ce domaine, elles affirment également souvent : « Nous sommes trop petits pour intéresser les hackers » et « Nous n’avons aucune raison de les intéresser ». Les PME ne disposent certes pas des budgets informatiques des grandes entreprises, mais la cybersécurité ne se limite pas à des considérations budgétaires.

Le biais d’optimisme est un mécanisme psychologique qui amène une personne à croire qu'elle est moins exposée à un événement négatif que d'autres personnes. Ce phénomène est également nommé « optimisme comparatif » et revient en réalité à faire preuve d’un optimisme démesuré. Cet état d’esprit est un vrai avantage dans les périodes difficiles, mais il relève de la naïveté lorsque l’on parle de cybersécurité.

Répondre aux objections

Pour convaincre un client d’allouer un budget à la cybersécurité alors qu’il est persuadé de ne rien risquer, vous devez lui communiquer des données objectives et lui faire comprendre la réalité de sa situation. Voici une liste des objections les plus courantes formulées pour justifier le refus d’acquérir de nouvelles solutions de cybersécurité et des arguments permettant de les surmonter :

« Peu de chances que cela nous arrive »

De nombreux clients vous affirmeront qu’ils ne sont tout simplement pas la cible des cyberattaques. Qu’ils fassent preuve d’un biais d’optimisme ou disposent d’informations erronées, cette position les rend vulnérables. Si un client formule cette objection, montrez-lui l’écart qui existe entre le nombre de PME pensant ne jamais être attaquées et le nombre de PME qui le sont.

« Notre entreprise est trop petite pour intéresser les hackers »

Les hackers savent que les PME consacrent un budget réduit à l’informatique et disposent donc de moins de ressources dans ce domaine que les grandes entreprises. Elles constituent à ce titre des cibles intéressantes, car plus facilement accessibles. L’actualité de ces derniers mois le confirme, avec des attaques de ransomware coordonnées contre des administrations locales. En effet, c’est principalement en raison de leur taille modeste que ces administrations ont été visées : leurs ressources informatiques limitées les rendent plus faciles à pirater. Par ailleurs, elles ne disposent probablement pas des budgets et des experts internes nécessaires à une reprise rapide des activités.

La plupart des PME voient sans doute les cyberattaques par le prisme des cas les plus médiatisés, par exemple les célèbres violations survenues chez Equifax, Target, Sony et Facebook. Il est vrai que les attaques ciblant les PME font rarement couler beaucoup d’encre, ce qui contribue aux idées reçues sur ce sujet. Pour combattre cet argument, citez des exemples montrant que la taille de l’organisation n’est pas un critère absolu :

  • La paroisse de Saint Ambrose a perdu 1,75 million de dollars après une attaque BEC (Business email compromise).
  • Les employés de la Wichita State University ont perdu leurs salaires à cause d’une fraude au dépôt direct liée à du spear phishing.
  • Le fabricant Empire Industries ne peut que suivre en temps réel l’infection de ses systèmes par des ransomwares.
  • Les cyberattaques ont coûté 30 milliards de livres aux PME du Royaume-Uni.

« Cela coûte trop cher »

Une infrastructure de cybersécurité peut effectivement être coûteuse, mais il en va de même pour une cyberattaque. La ville de Riviera Beach, en Floride, en a fait l’amère expérience. Elle a en effet dû s’acquitter de 600 000 $ pour récupérer l’accès à ses systèmes, bloqués par un ransomware. Cette somme vient s’ajouter au million de dollars qu’elle prévoit de consacrer à l’achat de nouveaux ordinateurs et systèmes après cette violation. L’attaque aurait été causée par un employé qui a téléchargé le malware en cliquant sur un lien de phishing dans un email.

Il est recommandé de confier la création d’une infrastructure de cybersécurité à des experts, les MSP. Pour encourager vos clients à investir dans la cybersécurité, proposez des offres groupées permettant de réaliser des économies substantielles et d’optimiser l’efficacité à la fois pour vous et pour vos clients. Rappelez-leur ce que peut coûter une violation en leur présentant quelques coûts réels supportés par les PME :

« Nous n’avons rien susceptible de les intéresser »

On pense trop souvent que les hackers s’attaquent aux cibles les plus juteuses. Pourtant, ce n’est pas toujours le cas. Chez Vade Secure, nous constatons depuis peu une multiplication des attaques de spear phishing visant la même cible. Chacune de ces attaques détourne de petites sommes, qui s’accumulent peu à peu. Ces attaques sont davantage susceptibles de passer inaperçues pendant des périodes prolongées, car les montants demandés sont modestes. Les hackers ont ainsi le temps et la liberté de gagner la confiance de leurs victimes et lancer plus d’attaques.

Une PME ne vaut peut-être pas des milliards, mais ses employés ont beaucoup à offrir, notamment en matière de mots de passe, d’informations personnelles et de comptes bancaires. Enfin, une PME est bien souvent le moyen d’accéder à une cible plus intéressante : ses clients. La violation dont a été victime Target en 2013 était consécutive à une attaque par malware véhiculée par un email envoyé à Fazio Mechanical Services, son fournisseur de systèmes CVC. Cette violation a au final coûté plus de 400 millions de dollars à Target, et a placé Fazio Mechanical Services sous les feux des projecteurs, une publicité dont l’entreprise se serait bien passée. Les PME persuadées de ne présenter aucun intérêt pour les hackers devraient se pencher sur les statistiques suivantes :

  • 44 % des PME ont été victimes de violations de mots de passe liées à leurs employés, dont les coûts se sont montés à 383 000 $.
  • Les PME victimes d’une violation ont perdu en moyenne 10 848 dossiers.
  • 58 % des PME ayant subi une violation de données ont expliqué que le coupable était un employé ou sous-traitant négligent.

« Nous disposons d’une cyberassurance »

Il s’agit d’une excellente nouvelle pour la compagnie d’assurance qui gère cette police ! Prenons le cas du ransomware qui a frappé Lake City, en Floride. Le déblocage des systèmes de la ville a nécessité le paiement d’une rançon à 6 chiffres. D’après une enquête menée par ProPublica, il est plus rentable pour la compagnie d’assurance de prendre en charge la rançon, car elle n’a alors pas à rembourser les coûts subis par l’entreprise (inactivité, perte de productivité, achat de nouveaux systèmes) ou les frais de justice ou de relations publiques associés à une dégradation de la réputation.

Le fait d’avoir contracté une cyberassurance ne doit pas servir d’excuse pour négliger sa cybersécurité. De nombreuses polices prévoient la prise en charge des frais de justice, des paiements de ransomware et de l’achat de nouveaux systèmes informatiques, mais pas des pertes subies en lien avec les cyberattaques.

Lake City a par exemple payé 24 bitcoins, soit 460 000 $, pour obtenir la clé de déchiffrement du ransomware, mais cette clé n’a pas eu le résultat escompté. La compagnie d’assurance a évité de rembourser les dégâts générés, dont le montant aurait pu être bien supérieur à celui de la rançon. La ville de Lake City n’a pu restaurer qu’une partie de ses fichiers, et son responsable informatique a été licencié. Une cyberassurance est indispensable, mais ne constitue pas la solution ultime. Montrez à vos clients pourquoi une cybersécurité optimisée est meilleure que n’importe quelle assurance en vous appuyant sur ces articles (en anglais) :

« Nos solutions actuelles sont suffisantes »

En poussant vos prospects ou clients à passer d’une solution insuffisante à une solution de premier plan, vous réalisez une opération gagnant-gagnant : votre client est mieux protégé des attaques et votre entreprise est mieux protégée des conséquences des attaques. Une PME peut dépenser plus de 49 000 $ pour reprendre ses activités après une cyberattaque : ce chiffre explique pourquoi 74 % d’entre elles sont prêtes à poursuivre leur MSP en justice.

Illustrez l’intérêt d’une solution plus efficace à l’aide d’une preuve de concept transparente qui montre à votre client le nombre exact de menaces qui contournent ses protections actuelles. Dans ce type d’implémentation, la solution surveille le trafic, mais n’agit aucunement sur les systèmes de votre client/prospect. Par exemple, avec Vade Secure pour Office 365, nous surveillons le trafic d’emails du client, mais ne bloquons pas et ne supprimons pas les emails arrivés dans les boîtes de réception des utilisateurs. Au bout de deux semaines, vous pourrez montrer à votre client/prospect combien de menaces ont contourné son système et l’impact qu’elles auraient pu avoir sur son entreprise.

New call-to-action

Ressources supplémentaires