Cyberattaques : les PME suisses se bercent d'une fausse sécurité

On ne cesse de lire et d'entendre parler de cyberattaques en tout genre. Il semble que leur nombre ne cesse d'augmenter. Mais les PME sont-elles bien protégées contre de telles attaques du cyberespace ? C'est ce qu'a tenté de déterminer l'institut d'études de marché et de recherche sociale gfs-zürich dans le cadre d'une enquête représentative menée en septembre 2011 auprès de 300 directeurs de PME. L'étude a été commandée entre autres par ICTswitzerland, l'Unité de pilotage informatique de la Confédération (UPIC), l'Information Security Society Switzerland (ISSS), l'Association suisse pour les systèmes de qualité et de management (SQS) et l'Association suisse d'assurances (ASA). La sélection des PME, effectuée selon des méthodes scientifiques, permet d'extrapoler les résultats à l'ensemble des PME suisses (2015 : 580'000).

Apparemment, seules quelques PME sont touchées par les cyberattaques

Les PME ont d'abord été interrogées sur leur propre évaluation des facteurs de risque. Environ deux tiers des personnes interrogées (62%) estiment que le fonctionnement continu de l'informatique est très important pour leur entreprise. Cela signifie qu'une cyberattaque réussie et une panne d'exploitation qui en découlerait causeraient déjà un certain dommage. Les PME considèrent également comme un facteur de risque le fait que des données sensibles, telles que des secrets commerciaux ou des données personnelles, puissent être volées. Environ trois quarts des personnes interrogées stockent de telles informations en interne. Dans plus de la moitié des PME, la direction est elle-même responsable de la sécurité informatique. Mais seule la moitié d'entre elles s'estime bien ou très bien informée sur les cyberrisques. Selon les auteurs de l'étude, il s'agit là d'un autre facteur de risque.

Le risque de cyberattaques est fortement sous-estimé par les PME, comme le montrent les résultats suivants de l'enquête : Seuls 10 % et 4 % considèrent comme un grand ou très grand danger le fait d'être mis hors d'état de nuire pendant une journée ou même de voir leur existence menacée. Plus de la moitié des directeurs/trices interrogés (56 %) se sentent bien ou très bien protégés contre les cyberattaques. Toutefois, 36 % disent avoir déjà été touchés par des logiciels malveillants (virus, chevaux de Troie), 6 % par des pertes de données, 4 % par du chantage, 3 % par des attaques DDoS et 2 % par des vols de données. Tout cela semble peu : sur la base des 301 PME interrogées, on peut par exemple estimer le nombre d'entreprises touchées par le chantage à 23'000 (4 pour cent), et les 36 pour cent d'entreprises touchées par des logiciels malveillants correspondraient en chiffres absolus à 209'000 entreprises. Néanmoins, plus de la moitié des directeurs/trices interrogés (56 %) se sentent bien ou très bien protégés contre les cyberattaques.

La protection technique existe, mais le risque "employé" demeure

Toutefois, selon les auteurs de l'étude, cette protection contre les cyberattaques est loin d'être suffisante. En effet, seules 60 % des personnes interrogées indiquent avoir entièrement mis en œuvre des mesures de protection de base telles que la protection contre les logiciels malveillants, le pare-feu, la gestion des correctifs et la sauvegarde. Les systèmes de détection des cyberincidents n'ont été entièrement mis en place que par une entreprise sur cinq. Les processus de traitement des cyberincidents ne sont plus appliqués que par 18 % des entreprises interrogées, et les formations des collaborateurs sur l'utilisation sûre des TI par seulement 15 %. Simon Dejung de l'Association Suisse d'Assurances s'inquiète en conséquence : "Plus de 98 % des entreprises suisses sont des PME et constituent l'épine dorsale de l'économie suisse. Il est donc d'une importance stratégique pour la Suisse que ces entreprises se protègent mieux contre les cyber-risques".

Sous forme d'assurance par exemple ? 12 pour cent des PME interrogées ont indiqué disposer d'une cyberassurance. Selon les estimations de Simon Dejung, il ne devrait toutefois pas s'agir dans la plupart des cas d'une cyberassurance pure, mais au mieux d'une couverture partielle au sein d'un autre produit d'assurance. Il met en garde : "En cas de sinistre, il pourrait s'avérer que l'assurance entend par sinistre quelque chose de totalement différent du preneur d'assurance". Il est d'autant plus important de vérifier précisément la couverture face aux nouveaux paysages de risques qu'apportent la mise en réseau, la numérisation et l'automatisation. Il s'agit de déterminer les scénarios de menace correspondants et d'évaluer son propre paysage de risques avant de choisir un produit d'assurance.

L'éducation et la coordination en matière de sécurité informatique sont nécessaires

Or, de nombreuses PME semblent justement échouer dans ce domaine. Les normes de cybersécurité reconnues leur sont généralement inconnues. Et se faire certifier selon des normes comme ISO 27001, par exemple, dépasse les ressources de la plupart des PME. Une commission d'experts composée de représentants de la Confédération et de l'économie travaille donc à l'élaboration de normes à la bonne hauteur de vol pour les PME. "Nous adoptons une approche très pragmatique", assure Arié Malz, membre dirigeant de cette commission. Outre la création de telles normes de sécurité reconnues, il existe d'autres objectifs à poursuivre en priorité, comme l'explique Andreas Kälin, directeur d'ICTswitzerland. Ainsi, les collaborateurs devraient être systématiquement sensibilisés à l'utilisation sûre de l'informatique. En outre, les PME devraient être soutenues par des organisations appropriées dans la gestion des cyberrisques et un système d'alerte précoce devrait être mis en place pour l'ensemble de l'économie afin d'informer des nouveaux cyberrisques. Il faut en outre examiner si et comment une obligation d'annoncer les cyberattaques peut être mise en œuvre. Des campagnes d'information sur l'identification des cyber-risques sont également annoncées à l'échelle nationale.

Source : ICTSwitzerland