Bureau à domicile dans les PME : les cyber-risques sont sous-estimés
Grâce à une infrastructure moderne et à des activités indépendantes du lieu, deux tiers des PME suisses ont pu réagir rapidement au "Corona Lockdown" et, dans de nombreux cas, passer sans problème au travail à domicile. Même si de nombreuses entreprises voient également de grandes opportunités dans le travail à domicile, un aspect n'est pas assez pris en compte : Les cyber-risques. En effet, bien qu'un quart des PME suisses aient déjà été victimes d'une cyberattaque lourde de conséquences, deux tiers d'entre elles n'organisent pas de formation régulière de leurs collaborateurs sur le thème de la cybersécurité et il n'existe pas non plus de concept de sécurité.
D'août à octobre 2020, l'institut d'études de marché et de recherche sociale gfs-zürich a interrogé, dans le cadre d'un sondage représentatif, 503 CEO de petites entreprises (4 à 49 collaborateurs) de Suisse alémanique, romande et italienne sur les effets de la pandémie Corona sur la numérisation. L'enquête a été réalisée sur mandat de digitalswitzerland, de La Mobilière, du Centre national de cybersécurité (NCSC), de la Haute école d'économie de la Haute école spécialisée du nord-ouest de la Suisse (FHNW) et de l'Académie suisse des sciences techniques (SATW).
Opportunités saisies - cyber-risques sous-estimés
Alors qu'au début de 2020, 10% des employés en moyenne travaillaient principalement à domicile, ils étaient presque quatre fois plus nombreux (38%) à le faire pendant le lockdown. Après le lockdown, les chiffres ont certes de nouveau baissé, mais avec 16% d'employés travaillant à domicile, la proportion a augmenté de 60% par rapport au début de l'année. Alors que les PME suisses font preuve de flexibilité, les risques du home office et de la numérisation sont sous-estimés par beaucoup. Quelques résultats de l'étude en détail :
- Les outils de conférence en ligne ont le vent en poupe : après l'e-mail et le téléphone, la communication dans les PME passe le plus souvent par des canaux de communication privés comme WhatsApp ou d'autres services de messagerie. Avec le lockdown, ce sont surtout les outils de conférence en ligne qui ont pris de l'importance : La part des réunions virtuelles est passée de 9% à 20% et a donc plus que doublé.
- Un quart des PME suisses ont déjà été victimes d'une cyberattaque lourde de conséquences : sur les quelque 38 250 PME attaquées dans toute la Suisse, environ un tiers (12 930 PME) ont subi des dommages financiers et une attaque sur dix a entraîné une atteinte à la réputation et/ou la perte de données clients.
- Les mesures préventives sont trop rarement prises : Malgré les fréquentes cyberattaques, seule une PME sur deux dispose d'un plan d'urgence pour assurer la continuité de l'activité et environ deux tiers n'organisent pas de formations régulières pour les collaborateurs et n'ont pas non plus mis en place de concept de sécurité dans l'entreprise.
- L'homme comme facteur de risque - Les cyber-risques sont souvent sous-estimés : A peine la moitié (47%) des PDG ont déclaré être bien informés sur les sujets liés à la sécurité. Le manque de conscience du risque de devenir soi-même victime d'une cyberattaque est encore plus flagrant : Seuls 11% estiment que le risque d'être mis hors d'état de nuire pendant une journée par une cyberattaque est important.
La Confédération veut continuer à améliorer les conditions-cadres de la cybersécurité
Florian Schütz, délégué fédéral à la cybersécurité, salue la capacité d'adaptation des PME suisses : "Il est réjouissant de voir à quel point même les petites PME suisses sont progressistes en ce qui concerne leur infrastructure informatique et que la cybersécurité fait l'objet d'une attention croissante. Le lockdown a montré l'importance de la transition numérique pour rester adaptable. De nombreuses PME l'ont compris et ont accéléré leurs efforts de numérisation. Mais la situation actuelle met aussi en évidence l'importance de créer des conditions-cadres pour que la cybersécurité en Suisse permette de tirer le meilleur parti possible des opportunités offertes par la numérisation. A cet effet, la Confédération entend poursuivre ses efforts et soutenir activement la population et l'économie dans la protection contre les cyberrisques". Concrètement, la Confédération a développé, en collaboration avec digitalswitzerland, un test rapide pour les PME. Celui-ci permet aux petites entreprises de vérifier rapidement et facilement leur niveau de protection contre les cyberrisques. Une plus grande efficacité est également requise dans la poursuite des cyberdélits. A cet égard, la collaboration entre les corps de police cantonaux sera renforcée.
Environ 13000 PME ont déjà été victimes d'une cyber-attaque
Comme mentionné ci-dessus, près de 13 000 PME ont déjà été victimes d'une cyberattaque. Il s'agissait le plus souvent de cas de ransomware : via le phishing ou des ports ouverts, des criminels ont installé un logiciel malveillant qui crypte les données et les décrypte contre une rançon. Andreas Hölzli, responsable du centre de compétences Cyber Risk de La Mobilière, regrette que trop de PME pensent encore qu'elles n'ont rien à gagner. La gestion des risques est par conséquent mal développée : "Le problème, c'est que les mesures organisationnelles n'ont souvent pas autant d'importance. Les entreprises ont besoin de mesures qui vont au-delà des aspects techniques, la sensibilisation de leurs collaborateurs en fait par exemple partie". Outre les mesures de protection techniques comme les programmes antivirus ou les pare-feu, des sauvegardes qui fonctionnent sont également importantes. "Nous faisons malheureusement souvent l'expérience que les sauvegardes ne peuvent pas être restaurées correctement. Soit les données sont également cryptées, soit toutes les données n'ont pas été sauvegardées du tout", explique Hölzli. Il insiste donc sur le fait que les sauvegardes doivent toujours être séparées du système. Il constate également que de nombreuses PME ne disposent pas d'un plan d'urgence en cas d'interruption de l'activité en raison d'un cyber-incident.
Le travail à domicile va se généraliser - la sensibilisation aux cyber-risques doit suivre le rythme
Le professeur Marc K. Peter de la FHNW est convaincu que le home office s'établira à long terme comme élément de la nouvelle stratégie du monde du travail du "Blended Working" : "Dans de nombreux emplois, un mélange entre le travail à domicile et le travail au bureau fera partie du quotidien. Mais il est urgent de tenir compte du fait que cela augmente les exigences en matière d'importants investissements technologiques et de sécurité informatique dans les PME suisses".
Le grand nombre de PME touchées par une cyberattaque est une motivation supplémentaire pour Nicole Wettstein, responsable du programme Cybersecurity à la SATW, pour faire avancer les activités de sensibilisation en cours : "Il est essentiel de continuer à augmenter la proportion de PME qui mettent en œuvre des mesures minimales de protection de base en matière de cybersécurité". Andreas W. Kaelin, directeur adjoint et responsable du dossier cybersécurité chez digitalswitzerland, ajoute : "La cyber-résilience des PME doit augmenter". Il parle à ce propos d'"incompétence inconsciente", encore trop répandue en de nombreux endroits. Déléguer le thème de la sécurité informatique à des prestataires de services externes ne va donc pas assez loin. Kaelin fait remarquer : "Selon l'enquête, environ deux tiers des petites entreprises se font aider par des prestataires de services informatiques externes. Cela montre que nous devons prendre d'urgence des mesures qui permettent aux entreprises d'identifier plus facilement les prestataires de services informatiques dignes de confiance. Car la sécurité d'une entreprise dépend de ses prestataires de services". C'est pourquoi un label est en cours d'élaboration, qui certifierait les prestataires de services informatiques pour leurs compétences en matière de cyber-risques.
Source et informations complémentaires : ictswitzerland.ch et digitalswitzerland.com
