En ce début d’année 2025, les PME font face à des cyberattaques de plus en plus sophistiquées, notamment avec l’utilisation de l’intelligence artificielle. David Caléro, Responsable de NowCyberDefense (NCD), explique les enjeux réglementaires, les défis émergents et les priorités pour les entreprises cherchant à sécuriser leurs systèmes d’information.
Quelle est l’actualité de la cybersécurité en ce début d’année 2025 ?
DC. L’actualité est marquée par deux évolutions réglementaires majeures. Le règlement DORA (Digital Operational Resilience Act), qui entre en vigueur le 17 janvier. Il impose aux entreprises du secteur financier de renforcer leur résilience face aux cybermenaces.
En parallèle, la directive NIS2 qui vise des règles de cybersécurité accrue pour de nombreux secteurs, doit être anticipée dès maintenant pour éviter un retard lors de sa transposition en droit français, qui ne va pas tarder.
Ces évolutions nécessitent des ressources spécialisées, un travail en profondeur (rédaction de politique de sécurité, processus de communication en cas de cyberattaque, évolutions techniques) et un accompagnement adapté pour se conformer efficacement. Globalement, ces deux règlements viennent donner le cadre à un renforcement des mesures de sécurité et de communication qui vont s’imposer peu à peu à toutes les entreprises.
Quels nouveaux défis ou opportunités de cybersécurité émergent pour les PME cette année ?
DC. Les attaques utilisant l’intelligence artificielle (IA), comme les deepfakes*, se multiplient. Ces menaces, souvent invisibles pour les systèmes actuels, rendent la gestion des incidents plus complexe. Chez NCD, nous encourageons les PME à adopter une vision 360° de leur posture de sécurité, combinant :
- La gouvernance avec le pilotage de la sécurité du système d’information, par un Responsable de la sécurité des systèmes d’information (RSSI). Il peut être à temps partiel auprès de l’entreprise.
- La conformité aux règlements, aux normes et aux cahiers des charges.
- Des indicateurs SOC (Security Operations Center) : nombre d’incidents, durée, nombre d’incidents éradiqués…
En 2025, il nous semble prioritaire de recommander à nos clients des audits de sécurité. C’est le moyen de bien connaître les failles de sécurité et de mettre en œuvre un plan stratégique pour augmenter son niveau de sécurité et donc adopter une posture de sécurité optimum.
Dans la continuité, et pour être en mesure de gérer ses priorités, nous préconisons de mettre en place une détection des vulnérabilités, de manière permanente.
S’il ne fallait faire qu’une seule action cyber en 2025, laquelle recommanderiez-vous ?
DC. Sans hésitation, installer une gouvernance en matière de cybersécurité. Pour ce faire, il faut un spécialiste de la cybersécurité qui puisse avoir une approche à la fois globale et adaptée au métier de l’entreprise. En pratique, il est possible de recourir à un responsable en sécurité des systèmes d’information (RSSI) mis à disposition quelques jours par mois. C’est une formule très adaptée aux PME. Il va ainsi pouvoir mettre en place une feuille de route et suivre des actions à moyen et long terme.
Avec ces conseils, les PME peuvent aborder 2025 sur des bases solides pour se prémunir contre des menaces toujours plus complexes. Consultez-nous pour améliorer votre sécurité.
‘* : enregistrement vidéo ou audio réalisé ou modifié grâce à l’intelligence artificielle.
