Hervé Kabla, avec qui j’ai écrit quelques livres dans notre collection À mon boss, vient de publier un ouvrage sur la cybersécurité des PME. La cybersécurité expliquée à mon boss est un ouvrage qui traite d’un sujet que beaucoup de dirigeants de PME continuent d’ignorer. Non par mauvaise volonté, mais par une conviction tenace. Celle d’être trop petit pour intéresser qui que ce soit. C’est précisément cette conviction qui fait d’eux des cibles de choix. J’ai invité Hervé à témoigner sur ce livre en vidéo dans le studio de Visionary Marketing.
Cybersécurité des PME : ce danger qu’elles préfèrent ignorer
La PME, cible idéale des attaques de cybersécurité
Le livre s’ouvre sur un constat que l’on pourrait qualifier de brutal si la réalité n’était pas encore plus sévère que les mots.
« Elles sont devenues en quelques années les cibles préférées des cybercriminels, parce qu’elles sont contraintes d’agir dans l’urgence, instinctivement, et ne font pas assez attention à leur protection. »
La cybersécurité expliquée à mon boss, p. 9
La transcription de son intervention confirme ce diagnostic avec la même franchise : les PME ne mettent ni les moyens techniques ni les efforts de sensibilisation nécessaires, et les cyberassaillants « le savent très bien ».
Ce qui a changé, c’est la nature même de l’attaque. Pendant longtemps, la cybercriminalité relevait du ciblage manuel, de l’intention délibérée. Aujourd’hui, les assaillants automatisent des balayages massifs d’internet à la recherche de failles ouvertes.
« À l’ère du numériqueDéfinition marketing digital, un terme utilisé en permanence et pourtant bien mal compris car mal défini omniprésent, l’opportunité remplace l’intention. »
La cybersécurité expliquée à mon boss, p. 23
Personne ne vous vise en particulier. Vous êtes simplement exposé, et c’est suffisant.
Trois postes budgétaires, quelques dizaines de milliers d’euros
Une des questions que les dirigeants de PME posent le plus souvent est aussi la plus simple : combien ça coûte ? La réponse d’Hervé est précise. Le budget de cybersécurité d’une PME s’évalue à « environ quelques dizaines de milliers d’euros » et se répartit en trois volets : les solutions techniques (logicielles et matérielles), la mise en place d’une assurance cyber adaptée, et la formation et sensibilisation des salariés. Ce triptyque est cohérent avec ce que le livre développe longuement : la faille technique et la faille humaine sont deux faces du même problème, et on ne résout pas l’une sans traiter l’autre.
Le livre chiffre également ce que coûte l’absence de préparation.
« Le coût moyen d’une violation de données pour une PME en 2024 oscille entre 150 000 et 250 000 dollars, bien souvent davantage que l’intégralité du budget informatique annuel. »
La cybersécurité expliquée à mon boss, p. 34-35
L’arithmétique est sans appel.
Cybersécurité : qui est concerné dans l’état major des PME ?
La réponse d’Hervé Kabla à cette question ne laisse guère de place à l’ambiguïté : tout le monde. Le responsable de la sécurité informatique, évidemment. Le patron, parce que c’est lui qui « doit répondre de la réputation de l’entreprise » face aux salariés, aux clients et aux actionnaires lorsque la crise survient. Et les collaborateurs, parce qu’une seule faille humaine suffit à ouvrir la porte.
« Pour les petites et moyennes entreprises, où les rôles se chevauchent et où les processus sont plus informels, le facteur humain n’est pas un risque parmi d’autres : c’est la base sur laquelle reposent tous les autres. »
La cybersécurité expliquée à mon boss, p. 73
L’arnaque au président, ces messages qui imitent le style ou la voix du dirigeant pour déclencher un virement urgent, en est l’illustration la plus courante. Ce n’est pas la technologie qui cède dans ces cas-là, c’est la psychologie qui est transformée en arme.
L’IA change la donne, pas à l’avantage des victimes
Un chapitre du livre aborde frontalement l’impact de l’intelligence artificielle sur le paysage des menaces. Les outils génératifs permettent désormais d’écrire des emails de phishing sans faute d’orthographe, d’imiter la voix d’un dirigeant à partir d’un simple échantillon audio, de concevoir de fausses pages de connexion reproduisant jusqu’aux polices de caractères et aux logos de l’entreprise ciblée. Les signes typiques qui permettaient autrefois de détecter une tentative de fraude, le français approximatif, le logo pixellisé, ont pratiquement disparu.
Hervé résume l’asymétrie fondamentale de la situation avec une formule qui vaut pour tous les secteurs.
« L’attaquant n’a besoin de réussir qu’une fois, alors que sa cible doit parvenir à se défendre tous les jours. »
La cybersécurité expliquée à mon boss, p. 22
Pour une PME dont les équipes sont réduites et les processus moins formalisés qu’un grand groupe, cette asymétrie est particulièrement difficile à absorber.
La résilience plutôt que l’invulnérabilité
Ce que le livre d’Hervé cherche à transmettre, au fond, n’est pas un catalogue de solutions techniques. C’est un changement de posture. La cybersécurité des PME ne peut pas reposer sur l’idée qu’on évitera l’incident : elle doit reposer sur la capacité à y survivre et à reprendre l’activité. Hervé emprunte une analogie à l’aéronautique pour l’illustrer.
« Dans un avion, chaque système critique possède un double, capable de prendre le relai en cas de panne. Personne n’appelle cela du gaspillage, car c’est cette redondance qui permet de voler sereinement et en toute sécurité. C’est la même chose pour votre entreprise. »
La cybersécurité expliquée à mon boss, p. 88
Cette logique de résilience s’applique aussi à la communication. Le livre s’appuie sur plusieurs cas réels, dont celui d’un cabinet comptable régional dont les renouvellements clients ont chuté de 30 % après une fuite de données, malgré une gestion responsable de l’incident. La transparence a un coût, reconnaît Hervé Kabla, mais le silence en a un plus grand.
Un livre pour les techniciens et pour les autres
La cybersécurité expliquée à mon boss s’adresse délibérément à deux publics. Les techniciens y trouveront des arguments pour défendre le budget sécurité en interne, face à des dirigeants qui pensent que la menace ne les concerne pas. Les non-techniciens y découvriront que la question n’est pas de savoir si leur entreprise sera attaquée, mais dans quel état elle se trouvera pour y faire face.
« Toute entreprise a été et sera cu-yberattaquée » !
C’est d’ailleurs la conviction qui structure l’ensemble de l’ouvrage, exprimée dès la transcription de l’intervention d’Hervé avec une clarté qui ne laisse aucune place à l’interprétation : « Toute entreprise a été et sera cyberattaquée ». Pour les dirigeants de PME qui pensent encore que ce genre de livre s’adresse aux autres, c’est peut-être la phrase la plus utile du livre.
À propos d’Hervé Kabla
Diplômé de l’École polytechnique, Hervé Kabla est l’un des acteurs les plus constants de la scène numérique française. Il a dirigé pendant de longues années l’agence Be Angels, qu’il a cofondée, avant de prendre des responsabilités dans plusieurs structures du secteur des médias et de la communication digitale. Blogueur prolifique, conférencier et enseignant, il est co-auteur avec moi de Le digital expliqué à mon boss (Kawa, 2017) et de plusieurs autres titres de la collection À mon boss que nous avons cofondée ensemble. La cybersécurité expliquée à mon boss prolonge cette démarche de vulgarisation rigoureuse à destination des dirigeants.
