«De nombreuses PME pensent qu’il suffit de prendre une fois des mesures de cyberprotection pour que tout aille bien par la suite. Or la cybersécurité doit faire l’objet d’un travail continu au sein des entreprises. En effet, les cyberrisques sont dynamiques, ils évoluent en permanence.»

En 2020, un quart des PME ont été victimes d’au moins une attaque. Un an plus tard, cette proportion passe à un tiers. La hausse du nombre de cyberattaques depuis le début de la pandémie est l’un des constats de l’étude représentative menée par digitalswitzerland, la Haute école spécialisée de la Suisse du nord-ouest, l’Académie suisse des sciences techniques, gfs-zürich et la Mobilière. Plus de 500 dirigeants d’entreprise s’y sont exprimés sur les thèmes du télétravail, de la cybersécurité et de la protection des données. Cette étude est la deuxième du genre depuis le début de la pandémie.

«Il existe encore un grand potentiel dans le domaine organisationnel», déclare Andreas Hölzli. C’est justement là où les cybercriminels attaquent le plus souvent, à savoir chez les collaborateurs, que la planification et la mise en œuvre des mesures de protection piétinent. À peine la moitié des PME suisses disposent d’un concept de sécurité informatique et seulement deux cinquièmes d’entre elles forment régulièrement leur personnel ou effectuent des audits de sécurité informatique. La cyberprotection ne porte-t-elle pas en premier lieu sur la technologie? «Non», déclare Andreas Hölzli. «Bien qu’elles soient essentielles, les mesures techniques ne forment qu’une partie d’un concept de cybersécurité. Des mesures organisationnelles et des processus sûrs sont également nécessaires.» L’étude examine comment les PME se protègent actuellement des cyberattaques et révèle que c’est au niveau des mesures organisationnelles que le bât blesse:

Andreas Hölzli cite des exemples de terreaux fertiles pour les cyberrisques: de nouvelles failles dans un logiciel sont identifiées et exploitées par les pirates informatiques. Ou bien les processus ne sont pas clairement définis et d’anciens collaborateurs ont encore accès aux systèmes de l’entreprise. Ou encore le facteur humain: dans le stress du quotidien, des collaborateurs peuvent vite oublier de vérifier soigneusement les expéditeurs des e-mails et tomber dans le piège d’un message de phishing.

Quelles sont les mesures appropriées permettant de réduire également les cyberrisques non techniques? «Le plus important est la sensibilisation régulière des collaborateurs», explique Andreas Hölzli. «Il suffit qu’une personne négligente ou ignorante saisisse ses données au mauvais endroit pour qu’un malheur arrive.» Une PME peut traiter le sujet elle-même en interne ou faire appel à des prestataires externes tels que La Mobilière, qui organisent des formations virtuelles adaptées, y compris des simulations de phishing.

Jamais autant de données n’ont été transmises, archivées, stockées et mises en réseau. La sécurité informatique devient peu à peu une tâche stratégique pour la direction. En effet, lorsque la technologie ne fonctionne pas, l’entreprise peut être amenée à fermer. Andreas Hölzli est d’avis qu’un inventaire complet de l’infrastructure informatique est impératif en matière de cyberprotection: «Les entreprises ignorent souvent tout de leur matériel informatique et de leurs logiciels et ne savent pas si leur infrastructure informatique est rigoureusement entretenue.» Des responsabilités et des procédures claires sont également essentielles, notamment en cas d’attaque. «En effet, une fois que la cyberattaque est en cours et que les systèmes sont bloqués, il est trop tard pour mettre en place un concept d’urgence. Il est nécessaire de définir au préalable la manière dont les activités seront poursuivies en cas de crise.»