Cybercriminalité : la sécurité de l'information dans les PME suisses présente un potentiel d'amélioration

Les grandes entreprises comme les banques, les assurances ou l'industrie pharmaceutique ne sont pas les seules à être menacées par la cybercriminalité. Les PME suisses sont elles aussi confrontées à un nombre croissant d'attaques provenant d'Internet. La Haute école de Lucerne a saisi cette occasion pour interroger l'année dernière les petites et moyennes entreprises sur le thème de la sécurité de l'information.

Manque de connaissances sur la prévention de la cybercriminalité

Les deux auteurs Oliver Hirschi et Armand Portmann du Département Informatique ont maintenant publié les résultats de l'enquête. L'auteur principal, Hirschi, résume les résultats comme suit : "Dans de nombreuses PME, il y a un manque de connaissances sur la manière d'aborder le thème de la sécurité de l'information". Et ce, bien qu'environ 40% des entreprises interrogées aient déclaré avoir été récemment - c'est-à-dire dans les 12 mois précédant l'enquête - touchées par des cyberattaques telles que des logiciels malveillants ou des e-mails de phishing.

L'étude se base sur une enquête en ligne que les chercheurs ont menée auprès de 230 PME. Il s'agissait d'entreprises issues des secteurs les plus divers comme les services, le conseil, l'artisanat ou la santé. Près de deux tiers des entreprises permettent à leurs collaborateurs de traiter leurs e-mails professionnels sur des appareils privés. Près d'un tiers permet l'accès à toutes les applications informatiques. "Cela augmente bien sûr la surface d'attaque", explique Hirschi, "tout comme l'utilisation de services en nuage", c'est-à-dire par exemple des mémoires de données auxquelles on peut accéder à tout moment et de partout. Près de 60 % des entreprises les utilisent sous une forme ou une autre.

Crainte de dommages importants en cas d'abus

Si une entreprise est touchée par la cybercriminalité, cela l'amène à se pencher davantage sur le thème de la sécurité de l'information. La garantie de l'activité commerciale est au centre de l'intérêt. Cela se fait sur fond d'une grande exigence de confidentialité : plus de deux tiers des entreprises jugent importants ou très importants les dommages qui résulteraient d'une publication abusive de leurs données confidentielles.

Les mesures de protection sont donc importantes. "Malgré cela, la grande majorité des entreprises ont indiqué qu'elles ne consacraient pas de ressources ou seulement des ressources minimales au thème de la sécurité de l'information", explique Armand Portmann, co-auteur de l'étude. De plus, de nombreuses entreprises ont déclaré ne pas avoir formé leur personnel à la gestion des risques au cours de l'année précédant l'enquête. En conséquence, le pilotage et le contrôle de la sécurité de l'information sont souvent peu développés : moins de la moitié des PME vérifient régulièrement l'efficacité de leurs mesures de sécurité. Cela explique aussi pourquoi les normes ou les guides pour la sécurité de l'information sont plutôt rarement utilisés. La situation est meilleure en ce qui concerne les mesures techniques. Il s'agit entre autres des sauvegardes, des antivirus et des pare-feu. Selon l'enquête, presque toutes les entreprises interrogées les utilisent.

Wanted : plus de personnel, plus de formations

Au vu de ces résultats, les deux auteurs de l'étude estiment que c'est justement dans le domaine de l'organisation et du personnel qu'il faut rattraper le retard : pour améliorer la situation dans les PME suisses, les entreprises devraient consacrer davantage de ressources à la sécurité de l'information et mieux préparer leurs collaborateurs aux dangers des cyberattaques en leur proposant des formations.

Source : Haute école de Lucerne
Formations continues sur la sécurité de l'information : www.hslu.ch/information-security-privacy
Des conseils pour une meilleure sécurité informatique sont donnés entre autres ici