Les PME sont généralement efficaces pour ce qui est des mesures techniques contre les cyberattaques. Mais elles négligent souvent les actions relatives aux processus et à l’organisation. Andreas Hölzli, responsable du centre de compétences Cyber Risk à la Mobilière, nous présente les enjeux.
«De nombreuses PME pensent qu’il suffit de prendre une fois des mesures de cyberprotection pour que tout aille bien par la suite. Or la cybersécurité doit faire l’objet d’un travail continu au sein des entreprises. En effet, les cyberrisques sont dynamiques, ils évoluent en permanence.»
La tendance, déjà positive, a été renforcée par le nombre croissant de salariés travaillant à domicile: de plus en plus de PME suisses prennent des mesures techniques pour se protéger des cyberattaques, comme des logiciels de sécurité supplémentaires, des pare-feux, de meilleurs mots de passe, des sauvegardes de données, etc. Mais est-ce suffisant?
En 2020, un quart des PME ont été victimes d’au moins une attaque. Un an plus tard, cette proportion passe à un tiers. La hausse du nombre de cyberattaques depuis le début de la pandémie est l’un des constats de l’étude représentative menée par digitalswitzerland, la Haute école spécialisée de la Suisse du nord-ouest, l’Académie suisse des sciences techniques, gfs-zürich et la Mobilière. Plus de 500 dirigeants d’entreprise s’y sont exprimés sur les thèmes du télétravail, de la cybersécurité et de la protection des données. Cette étude est la deuxième du genre depuis le début de la pandémie.
Des lacunes dans la cyberprotection
«Il existe encore un grand potentiel dans le domaine organisationnel», déclare Andreas Hölzli. C’est justement là où les cybercriminels attaquent le plus souvent, à savoir chez les collaborateurs, que la planification et la mise en œuvre des mesures de protection piétinent. À peine la moitié des PME suisses disposent d’un concept de sécurité informatique et seulement deux cinquièmes d’entre elles forment régulièrement leur personnel ou effectuent des audits de sécurité informatique.
La cyberprotection ne porte-t-elle pas en premier lieu sur la technologie? «Non», déclare Andreas Hölzli. «Bien qu’elles soient essentielles, les mesures techniques ne forment qu’une partie d’un concept de cybersécurité. Des mesures organisationnelles et des processus sûrs sont également nécessaires.»
L’étude examine comment les PME se protègent actuellement des cyberattaques et révèle que c’est au niveau des mesures organisationnelles que le bât blesse:
Facteur humain, processus et technologie
Andreas Hölzli cite des exemples de terreaux fertiles pour les cyberrisques: de nouvelles failles dans un logiciel sont identifiées et exploitées par les pirates informatiques. Ou bien les processus ne sont pas clairement définis et d’anciens collaborateurs ont encore accès aux systèmes de l’entreprise. Ou encore le facteur humain: dans le stress du quotidien, des collaborateurs peuvent vite oublier de vérifier soigneusement les expéditeurs des e-mails et tomber dans le piège d’un message de phishing.
Sensibiliser le personnel
Quelles sont les mesures appropriées permettant de réduire également les cyberrisques non techniques? «Le plus important est la sensibilisation régulière des collaborateurs», explique Andreas Hölzli. «Il suffit qu’une personne négligente ou ignorante saisisse ses données au mauvais endroit pour qu’un malheur arrive.» Une PME peut traiter le sujet elle-même en interne ou faire appel à des prestataires externes tels que La Mobilière, qui organisent des formations virtuelles adaptées, y compris des simulations de phishing.
Se préparer au pire
Jamais autant de données n’ont été transmises, archivées, stockées et mises en réseau. La sécurité informatique devient peu à peu une tâche stratégique pour la direction. En effet, lorsque la technologie ne fonctionne pas, l’entreprise peut être amenée à fermer. Andreas Hölzli est d’avis qu’un inventaire complet de l’infrastructure informatique est impératif en matière de cyberprotection: «Les entreprises ignorent souvent tout de leur matériel informatique et de leurs logiciels et ne savent pas si leur infrastructure informatique est rigoureusement entretenue.» Des responsabilités et des procédures claires sont également essentielles, notamment en cas d’attaque. «En effet, une fois que la cyberattaque est en cours et que les systèmes sont bloqués, il est trop tard pour mettre en place un concept d’urgence. Il est nécessaire de définir au préalable la manière dont les activités seront poursuivies en cas de crise.»
Wie sich KMU gemäss der aktuellen Studie vor Cyberattacken schützen – bei den organisatorischen Massnahmen besteht am meisten Handlungsbedarf.
Geht es denn bei Cyberschutz nicht in erster Linie um die Technik? «Nein», sagt Andreas Hölzli. «Technische Massnahmen sind sehr wichtig, aber nur ein Teil eines Cybersicherheitskonzepts. Es braucht auch organisatorische Massnahmen und sichere Prozesse.»
Geht es denn bei Cyberschutz nicht in erster Linie um die Technik? «Nein», sagt Andreas Hölzli. «Technische Massnahmen sind sehr wichtig, aber nur ein Teil eines Cybersicherheitskonzepts. Es braucht auch organisatorische Massnahmen und sichere Prozesse.»
Soutenir et renforcer les PME dans leurs défis numériques: telle est la question soulevée par la deuxième étude sur le télétravail et la cybersécurité menée depuis le début de la pandémie, à laquelle plus de 500 PME de toute la Suisse ont participé. L’étude a été réalisée par digitalswitzerland, la Haute école spécialisée de la Suisse du nord-ouest, l’Académie suisse des sciences techniques, gfs-zürich et la Mobilière. Les résultats de l’étude sont disponibles avec des graphiques, des articles complémentaires ainsi que des guides sur la cyberprotection sur www.mobiliere.ch/etude-pme
