Attention: Vous utilisez une ancienne version d'Internet Explorer. Pour un affichage optimal, merci d’utiliser un navigateur plus récent : Google Chrome, Mozilla Firefox ou Microsoft Edge.

 

Comment protéger votre PME. Nos trois recommandations pour une meilleure cybersécurité.

  • Dans la lutte contre les cyberattaques, le personnel de l’entreprise constitue le principal point faible.
  • Une étude réalisée par Allianz et la ZHAW explique comment les PME peuvent renforcer leur résistance aux cyberattaques.
Le nombre de cyberattaques visant les entreprises augmente de manière impressionnante. Le personnel en constitue à la fois le principal point faible et le meilleur rempart. Dans cette situation, les PME en particulier sont mises au défi de renforcer leur résistance aux cyberattaques. Une étude réalisée par Allianz et la ZHAW explique comment y parvenir.

De nombreux exemples récents d’attaques contre des entreprises suisses connues montrent que les cyberrisques représentent une menace importante, en particulier pour les PME. Selon de récentes études de marché, une PME sur quatre a déjà été attaquée, parfois avec des conséquences fatales. Les attaques par rançongiciel, qui consistent à crypter des systèmes informatiques et à demander une rançon comme contrepartie à la restitution des données, sont celles qui ont le plus augmenté.

Pour commettre des attaques, les cybercriminels choisissent généralement le mode d’accès le plus facile et le plus efficace: le personnel. Ils commencent par un e-mail de phishing qui contient, par exemple, une pièce jointe à ouvrir ou un lien sur lequel il faut cliquer: sans qu’on le remarque, un logiciel malveillant est installé. «Les meilleures mesures de sécurité informatique ne servent à rien si elles sont contournées avec les employés», met en garde Carlos Casián, spécialiste des cyberrisques chez Allianz Suisse et coauteur de l’étude: «Quand on laisse entrer librement les cambrioleurs dans sa maison, un système d’alarme ou une serrure multipoint ne sont pas d’une grande utilité.» En raison des mesures liées à la pandémie de Covid-19, de nombreux employés travaillent depuis la maison et sont donc encore plus exposés aux tentatives de manipulation que d’habitude, car les échanges avec les collègues à propos d’éventuels e-mails suspects sont moins faciles.

Afin de connaître la situation des PME suisses en matière de cybersécurité, la Haute école zurichoise des sciences appliquées (ZHAW) et Allianz  ont réalisé une étude conjointe. En septembre 2020, des employés de trois PME de l’industrie thermique et de l’industrie manufacturière ont été interviewés selon la méthode des «métaphores profondes». Le principal enseignement pour commencer: l’attitude des employés face aux cyberattaques a un impact direct sur la cybersécurité des PME.

Il est en outre ressorti de cette étude que les employés présentaient un bon niveau de connaissance des cyberrisques et de leurs conséquences, ce qui est rassurant. Les employés ont également identifié leurs propres vulnérabilités, point de départ essentiel pour pouvoir endosser le rôle de défenseur en cas de cyberattaque. Les employés ont aussi montré qu’ils souhaitaient contribuer à la cybersécurité. «Les personnes interrogées ont indiqué qu’elles jugeaient importante une résolution rapide du problème afin de pouvoir reprendre le travail le plus tôt possible après une cyberattaque», explique Carlo Pugnetti, auteur de l’étude et chargé de cours à la ZHAW.

Elles avaient en même temps le sentiment d’être trop peu importantes en tant que personne, ou que leur entreprise était trop petite pour être considérée comme une cible. En raison d’un manque de connaissances informatiques, elles avaient également tendance à vouloir confier la responsabilité de la cybersécurité à des tiers, tels que des prestataires de services informatiques. «Un problème systémique auquel il convient de s’atteler», recommande Carlo Pugnetti.

À partir de l’ensemble des observations et informations recueillies, trois recommandations pratiques ont finalement été formulées à l’attention des PME. Dans ce cadre, la mobilisation des employés et la lutte active contre les cyberrisques occupent une place centrale. Une entreprise dont les employés sont vigilants et ont été informés en conséquence sera mieux préparée pour faire face à une tentative d’attaque. En outre, au cas où l’attaque aurait réellement lieu, des employés bien préparés et des plans de restauration bien rodés permettent de limiter les dégâts.

 

1. Sensibiliser

  • Partagez les statistiques (p. ex. celles du Centre national pour la cybersécurité, anciennement MELANI) et les cas publiés dans les médias de manière régulière, directe et systématique avec vos employés.
  • Informez régulièrement vos employés du nombre d’attaques contre le système informatique de votre entreprise qui n’ont pas abouti
  • Communiquez en même temps les mesures prises pour protéger votre entreprise (p. ex. installation d’un nouveau logiciel antivirus, mise à niveau des pare-feu).
  • Rappelez régulièrement à vos employés les habitudes simples qu’ils doivent intérioriser pour réduire le risque d’être victime d’une tentative de phishing (p. ex. comment reconnaître un e-mail de phishing).
  • Testez les mécanismes de défense des systèmes informatiques et les vulnérabilités des employés, p. ex. en simulant des attaques de phishing, et communiquez-en les résultats.

 

2. Qualifier les employés

  • Encouragez vos employés à participer à la détection et au signalement des attaques pour souligner l’importance de leur rôle dans la protection de l’entreprise.
  • Demandez aux prestataires externes, tels que les fournisseurs de services informatiques, d’impliquer également les employés en tant que clients, de les guider, de leur communiquer le maximum d’informations possible et de les faire participer.
  • Examinez avec des prestataires externes la possibilité de mettre en place des outils utiles, tels qu’une procédure simple de signalement des e-mails suspects ou autres.
  • Faites intervenir vos employés dans l’élaboration de solutions (voir la recommandation suivante).

 

3. S’entraîner au mode de restauration

  • Développez des processus et des outils avec vos employés au cas où l’infrastructure informatique ne serait pas disponible, ce qui vous permettra dans le même temps de renforcer l’esprit d’équipe et d’utiliser l’expertise de chaque employé.
  • Examinez les informations qui sont déterminantes pour votre entreprise (p. ex. les données relatives aux clients ou les données techniques relatives aux produits) et qui doivent être mises à disposition via des systèmes hors ligne, les tâches qui peuvent être effectuées sur des appareils privés et ce qui doit être conservé sur papier.
  • Définissez des déclencheurs spécifiques pour le fonctionnement en mode de restauration qui dépendent du système concerné et de la durée de la panne.
  • Testez et améliorez régulièrement les processus et les outils dans des conditions d’urgence réelles en consacrant un à deux jours par an à ces tâches.

 

Ces recommandations sont fournies à titre de complément aux mesures générales de protection. Une assurance contre les cyberrisques permet en outre de mieux maîtriser ce genre de risques.

par Carlos Casián et Carlo Pugnetti

Comment l’équipe de recherche a-t-elle procédé en utilisant l’approche des «métaphores profondes»?

  1. Les personnes interrogées ont été invitées au préalable à rechercher sur Internet trois à cinq images reflétant leurs sentiments face à la question «Que ressentez-vous lorsque vous entendez parler de cyberattaques?»
  2. Des discussions ont eu lieu avec les personnes interrogées afin de comprendre la raison de leur choix. Cela a fait remonter à la surface des énergies inconscientes et émotionnelles qui ont influencé leur comportement et leurs décisions.
  3. Les résultats des entretiens ont été rassemblés par l’équipe de recherche afin d’identifier les thèmes clés récurrents et d’en déduire des recommandations.

Les résultats ont émergé de l’interaction entre les personnes interrogées et l’analyse de l’équipe de recherche. Ils ne prétendent pas être représentatifs, mais permettent une compréhension plus approfondie du problème.

Adam, Senior Segmentmanager Unternehmen, Allianz Suisse
Adam
Gestionnaire de segment Senior Entreprises
Adam travaille dans le secteur des assurances depuis plus de 10 ans. C'est un professionnel des questions concernant les entreprises clientes - dans le secteur Vie et Non-vie. Lorsqu'il ne pratique pas les arts martiaux, Adam travaille sur Master in Insurance Management.
L’assurance optimale pour vous?
Nous la trouverons ensemble lors d’un entretien personnel.
CELA POURRAIT AUSSI VOUS INTÉRESSER

Assurance Cyber Risk
La digitalisation est source de risques: piratage informatique, escroquerie, vol de données ou plainte pour violation de la protection des données. Nous vous aidons à vous protéger.
Les chevaux de Troie chiffrant les données constituent l’un des principaux risques pour les sociétés. Voici comment les petites et moyennes entreprises peuvent se protéger.
Bien qu’un tiers des entreprises aient déjà été la cible de virus, les PME suisses semblent sous-estimer les cyberrisques.
Suivez-nous