Cybersécurité dans les PME : les collaborateurs sont la clé du succès
Les collaborateurs des PME suisses sous-estiment le risque de cyberattaques pour leur propre entreprise. Pour réduire les risques, des mesures de sensibilisation et la préparation de scénarios d'urgence sont nécessaires. C'est ce que montre une étude récente de la ZHAW et d'Allianz Suisse.
L'attitude de leurs collaborateurs face aux cyberattaques rend les petites et moyennes entreprises suisses vulnérables : Elles sont certes conscientes des risques généraux de la cybercriminalité et de l'important potentiel de dommages d'une attaque. Toutefois, elles ne considèrent pas leur propre entreprise et elles-mêmes comme suffisamment importantes pour constituer une cible valable. Cette attitude peut inciter les collaborateurs à ne pas être suffisamment vigilants. C'est à ces résultats que parvient une étude de la ZHAW School of Management and Law en collaboration avec Allianz Suisse. Les chercheurs ont mené des entretiens approfondis avec des collaborateurs de PME sélectionnées afin de comprendre leurs attitudes et les moteurs des décisions prises en matière de cyberrisques.
La généralisation actuelle du travail à domicile renforce les risques
"Les cybercriminels ciblent généralement les personnes et tentent par leur intermédiaire d'introduire un logiciel malveillant dans le système de l'entreprise ou d'obtenir des mots de passe. L'attitude et le comportement des collaborateurs sont donc déterminants pour se défendre contre les attaques", explique Carlos Casián, co-auteur de l'étude et souscripteur Sach / Cyber Risk chez Allianz Suisse. "C'est précisément à l'heure actuelle, où de nombreux collaborateurs travaillent à domicile, que les risques augmentent : d'une part, les aspects techniques tels que les accès externes au réseau de l'entreprise jouent un rôle. D'autre part, l'échange ad hoc avec les collègues par le biais d'e-mails suspects est plus difficile, ce qui rend les collaborateurs plus vulnérables aux tentatives de manipulation". Selon l'étude, les collaborateurs des PME associent en premier lieu les cyberattaques à des confrontations géopolitiques, au terrorisme ou au crime organisé. Ils considèrent en revanche la Suisse comme une sphère nettement plus sûre en comparaison. "C'est toutefois une idée fausse. Ici aussi, environ un tiers des PME ont déjà été exposées à des attaques", explique le responsable de l'étude, Carlo Pugnetti, chargé de cours à la ZHAW School of Management and Law.
Les cyberattaques ne sont perçues que comme un problème de spécialistes
Les collaborateurs des PME interrogés se sentent relativement démunis lorsqu'il s'agit d'identifier une attaque concrète contre leur propre entreprise et de réagir. Dans un tel cas, ils partent toutefois du principe que des spécialistes les aideraient. Cette hypothèse peut encourager une certaine passivité et inciter les collaborateurs à sous-estimer leur propre rôle dans la minimisation des cyberrisques. Parallèlement, les résultats de l'étude montrent que les PME disposent d'une culture d'entreprise fortement orientée vers les solutions. Les collaborateurs agissent donc généralement de manière proactive et souhaiteraient contribuer à la résolution d'un sinistre concret.
Stratégies pour une meilleure cybersécurité dans les PME
Afin de réduire les risques et l'impact d'une cyberattaque, les auteurs de l'étude émettent une série de recommandations pour renforcer la cybersécurité dans les PME : celles-ci comprennent notamment des mesures d'information au sein des PME, qui sensibilisent les collaborateurs à la menace objective et leur montrent comment ils peuvent contribuer à la contrer. En outre, les entreprises devraient élaborer des stratégies pour faire face à d'éventuelles attaques et aux pannes de systèmes informatiques qui en découlent et s'entraîner à ces scénarios. Lors de l'élaboration de stratégies de résolution correspondantes, les entreprises devraient impliquer activement leurs collaborateurs et tirer parti de leur attitude de travail engagée.
Méthodologie spécifique
L'étude "Cyberrisques et PME suisses - Une analyse des attitudes des collaborateurs et des vulnérabilités comportementales" a été réalisée par l'Institut Risk & Insurance de la ZHAW School of Management and Law en collaboration avec Allianz Suisse et avec le soutien de différents partenaires. Les chercheurs ont mené des entretiens approfondis avec 17 collaborateurs de différentes fonctions dans trois PME sélectionnées du secteur de la chaleur et de la fabrication. Pour ce faire, ils ont utilisé la technique d'interview dite de la "métaphore profonde", dans laquelle les personnes interrogées ont choisi des images exprimant leurs idées et leurs attitudes face à différents aspects de la cybercriminalité. "Grâce à cette méthodologie, nous avons pu identifier des modèles d'attitudes personnelles dont les personnes interrogées ne sont pas directement conscientes", explique Carlo Pugnetti. "L'accent a donc été mis sur l'émergence de connaissances cachées et sur le développement de mesures plus efficaces". Les entretiens ont eu lieu en septembre 2020.
Sources : zhaw et Allianz Suisse
