À l’automne 2017, l’institut de sondages et d’études de marché gfs-zurich a demandé à des dirigeants d’entreprise de moins de 250 collaborateurs comment ils se protégeaient contre les cyberattaques. Bien que 30 % des PME sondées en aient été victimes, la plupart d’entre elles pensent malgré tout être très bien couvertes. Les associations informatiques tirent la sonnette d’alarme et appellent les autorités publiques et les organisations économiques à introduire des normes légales minimales pour que les entreprises soient mieux armées face aux cyberattaques.
Alexandre Horvath, Risk Engineer Cyber Security chez Allianz, a suivi activement l’enquête en tant qu’expert en la matière. Le résultat ne le surprend pas. «La plupart des entreprises se protègent bien contre les dommages matériels et les préjudices pécuniaires, mais un grand nombre d’entre elles sous-estiment les cyberrisques.
Un besoin que reflètent d’autres chiffres de l’enquête: seulement 12 % des dirigeants d’entreprise ont à ce jour opté pour une cybercouverture spécifique, même si plusieurs assureurs proposent une cyberassurance individuelle. «Une cyberassurance couvre les dommages directs et les coûts consécutifs à une cyberattaque, par ex. la restauration des données ou la baisse de chiffre d’affaires en cas d’interruption d’exploitation après un cyberincident», explique Alexandre Horvath. «Le fait est qu’une cyberassurance peut toutefois donner aux entreprises un faux sentiment de sécurité. Or iI est important qu’elles prennent également des mesures de sécurité pour se protéger contre les attaques», ajoute Alexandre Horvath. Il recommande aux PME de faire appel à un fournisseur de services informatiques expérimenté dans le domaine de la cybersécurité et des cyberattaques et de dispenser régulièrement des cours de formation sur la sécurité informatique à leurs collaborateurs afin de les sensibiliser à la cybercriminalité. Par ailleurs, Alexandre Horvath leur conseille de procéder occasionnellement à des examens / évaluations des risques informatiques, afin qu’elles puissent, si nécessaire, adapter leur infrastructure aux nouveaux cyberrisques ou recourir à d’autres prestations externes de protection.