Politique en matière de mots de passe : De nombreuses PME n'en ont pas
La conscience des risques en matière de cybercriminalité reste très faible dans les PME suisses - c'est ce que montre une étude d'AXA. Ainsi, presque une PME sur deux n'a pas de politique en matière de mots de passe. De même, les PME n'ont pas encore pris connaissance de la nouvelle loi sur la protection des données.
La numérisation optimise les processus, les rend plus rapides et moins chers - mais augmente aussi le risque d'être victime de la cybercriminalité. Selon la statistique policière de la criminalité, plus de 30 000 délits dans le domaine de la criminalité numérique ont été signalés en Suisse en 2021, soit 24% de plus qu'en 2020. Comme le montre une étude représentative d'AXA, les PME suisses restent toutefois très peu conscientes des risques liés aux cyberattaques potentielles. Cela se traduit par exemple par l'absence de directives relatives aux mots de passe et par le manque de sensibilisation des collaborateurs.
Les PME moins touchées par la cybercriminalité ? Une idée fausse !
15 % des entreprises interrogées ont déclaré avoir été victimes, au cours des dernières années, d'une cyberattaque au cours de laquelle des personnes externes ont tenté d'accéder au réseau de l'entreprise afin d'obtenir des données de l'entreprise (14 % des petites PME, 29 % des grandes PME, dont une sur dix à plusieurs reprises). Malgré cela, les entreprises suisses ne s'attendent guère à ce que leur entreprise soit prise pour cible par des cybercriminels : Pas moins de 62 % des PME interrogées considèrent que le risque d'être victime d'une attaque à l'avenir est faible. Seules 12 % des entreprises estiment que le risque est grand. Une idée fausse, comme l'explique Andrea Rothenbühler, responsable de la cyberassurance AXA : "Les attaques contre les systèmes informatiques des entreprises suisses augmentent d'année en année. Ce sont surtout les PME qui se retrouvent de plus en plus dans le collimateur des cybercriminels, car elles ont moins de ressources à investir dans leur propre sécurité informatique que les grands groupes".
Les entreprises ne doivent pas seulement faire face à des coûts directs en cas d'accès indésirable au réseau de l'entreprise. De telles attaques peuvent également entraîner un arrêt de la production ou nuire durablement à la réputation de l'entreprise. Toutefois, les PME interrogées estiment que la probabilité qu'une cyberattaque puisse causer des dommages matériels et immatériels considérables à leur entreprise est plutôt faible. Les PME s'attendent le plus souvent à devoir supporter des coûts pour rétablir la sécurité informatique, ce qui représente tout de même 36 % des personnes interrogées. Vingt-neuf pour cent s'attendent à une forte diminution de la capacité d'exploitation et environ une PME sur cinq s'attend à des pertes financières élevées en raison de l'interruption de l'activité ou à une atteinte considérable à la réputation.
A l'exception des coûts élevés de rétablissement de la sécurité informatique, l'estimation selon laquelle ces conséquences sont plutôt, voire très peu probables, prédomine. Andrea Rothenbühler, cyber-experte, explique : "Une semaine d'interruption de l'activité peut déjà entraîner une perte de chiffre d'affaires douloureuse pour un constructeur de machines de taille moyenne. En outre, les coûts de récupération des données, de gestion de crise et d'assistance par des prestataires de services informatiques et des spécialistes de la cybersécurité sont élevés. En outre, en cas de violation de la protection des données, la PME peut être confrontée à des demandes de dommages et intérêts de la part des clients et à des amendes".
Les politiques de mot de passe ne concernent qu'environ la moitié des PME
Comme le montrent les résultats de l'enquête, 60 % des PME se sentent suffisamment protégées contre les accès aux données de leur entreprise par des pare-feu et des antivirus. Néanmoins, 17 % de toutes les personnes interrogées pensent que leurs mesures de protection informatique ne sont pas suffisantes, et environ un quart des PME interrogées n'ont pas pu évaluer si elles avaient pris des mesures de protection suffisantes. Et il existe également des différences en ce qui concerne les autres mesures de protection techniques : 73 % de toutes les PME interrogées font une sauvegarde régulière de leurs données, un peu plus des deux tiers ont installé un logiciel antivirus. 55 pour cent des PME interrogées ont installé un pare-feu pour protéger le réseau de l'entreprise, 46 pour cent seulement ont établi des directives concernant les mots de passe.
Les propres collaborateurs sont également moins visés par l'amélioration de la sécurité informatique, seules deux PME sur cinq sensibilisent leur personnel aux cyberrisques existants. On constate de nettes différences en fonction de la taille de l'entreprise : alors que 74 pour cent des grandes PME de 50 à 250 collaborateurs sensibilisent leur personnel aux risques informatiques potentiels, seuls 51 pour cent des PME moyennes de 10 à 49 collaborateurs et seulement 38 pour cent des petites PME de 2 à 9 collaborateurs le font. C'est pourtant là que les PME devraient investir : "Dans environ 70 pour cent des cyberattaques, ce sont les collaborateurs qui ouvrent la porte d'entrée aux logiciels malveillants. Il faut donc investir avant tout dans la formation de son propre personnel. Non seulement les logiciels doivent être régulièrement mis à jour, mais aussi les employés. Cela rend l'intrusion plus difficile pour les criminels et si une infection se produit, les collaborateurs bien formés savent comment réagir", explique Andrea Rothenbühler.
Un bon cinquième des personnes interrogées ne se sentent pas concernées par la nouvelle loi sur la protection des données
La nouvelle loi sur la protection des données n'est pas encore très présente dans l'esprit des PME. Les résultats de l'étude montrent qu'un bon cinquième des PME interrogées ne se sentent pas du tout concernées par la révision totale. Et même parmi les entreprises qui se considèrent dans le champ d'application de la LPD, seule une PME sur deux a pris des mesures jusqu'à présent. Seules 16% d'entre elles ont déjà demandé des informations à ce sujet et des mesures concrètes de mise en œuvre n'ont été prises que par une PME sur dix. Brigitte Imbach, avocate et Data Privacy Officer d'AXA-ARAG, met en garde contre une sous-estimation des effets de la nouvelle loi sur la protection des données : "Avec la révision totale de la loi suisse sur la protection des données, d'importantes dispositions relatives au traitement des données personnelles seront modifiées à partir de septembre 2023, et les petites et moyennes entreprises sont également concernées".
Les infractions intentionnelles à la nouvelle loi sur la protection des données, telles que le non-respect des obligations d'information, de renseignement, de coopération ou de diligence, peuvent être sanctionnées par des amendes allant jusqu'à 250'000 francs. En principe, c'est la personne physique responsable qui est amendée. Toutefois, l'entreprise elle-même peut désormais être sanctionnée d'une amende pouvant aller jusqu'à 50'000 francs si l'identification de la personne fautive au sein de l'entreprise nécessiterait des efforts d'investigation disproportionnés. "Les PME feraient donc bien de mettre en œuvre à temps les nouvelles exigences légales en matière de protection des données dans leur entreprise, ainsi que de vérifier et d'adapter en conséquence leurs déclarations et directives de protection des données. Celles qui ne disposent pas des compétences nécessaires au sein de l'entreprise devraient faire appel à un soutien externe et se faire impérativement conseiller", conseille l'experte.
Source : AXA
