De nombreux exemples récents d’attaques contre des entreprises suisses connues montrent que les cyberrisques représentent une menace importante, en particulier pour les PME. Selon de récentes études de marché, une PME sur quatre a déjà été attaquée, parfois avec des conséquences fatales. Les attaques par rançongiciel, qui consistent à crypter des systèmes informatiques et à demander une rançon comme contrepartie à la restitution des données, sont celles qui ont le plus augmenté.
Pour commettre des attaques, les cybercriminels choisissent généralement le mode d’accès le plus facile et le plus efficace: le personnel. Ils commencent par un e-mail de phishing qui contient, par exemple, une pièce jointe à ouvrir ou un lien sur lequel il faut cliquer: sans qu’on le remarque, un logiciel malveillant est installé. «Les meilleures mesures de sécurité informatique ne servent à rien si elles sont contournées avec les employés», met en garde Carlos Casián, spécialiste des cyberrisques chez Allianz Suisse et coauteur de l’étude: «Quand on laisse entrer librement les cambrioleurs dans sa maison, un système d’alarme ou une serrure multipoint ne sont pas d’une grande utilité.» En raison des mesures liées à la pandémie de Covid-19, de nombreux employés travaillent depuis la maison et sont donc encore plus exposés aux tentatives de manipulation que d’habitude, car les échanges avec les collègues à propos d’éventuels e-mails suspects sont moins faciles.
Afin de connaître la situation des PME suisses en matière de cybersécurité, la Haute école zurichoise des sciences appliquées (ZHAW) et Allianz ont réalisé une étude conjointe. En septembre 2020, des employés de trois PME de l’industrie thermique et de l’industrie manufacturière ont été interviewés selon la méthode des «métaphores profondes». Le principal enseignement pour commencer: l’attitude des employés face aux cyberattaques a un impact direct sur la cybersécurité des PME.
Il est en outre ressorti de cette étude que les employés présentaient un bon niveau de connaissance des cyberrisques et de leurs conséquences, ce qui est rassurant. Les employés ont également identifié leurs propres vulnérabilités, point de départ essentiel pour pouvoir endosser le rôle de défenseur en cas de cyberattaque. Les employés ont aussi montré qu’ils souhaitaient contribuer à la cybersécurité. «Les personnes interrogées ont indiqué qu’elles jugeaient importante une résolution rapide du problème afin de pouvoir reprendre le travail le plus tôt possible après une cyberattaque», explique Carlo Pugnetti, auteur de l’étude et chargé de cours à la ZHAW.
Elles avaient en même temps le sentiment d’être trop peu importantes en tant que personne, ou que leur entreprise était trop petite pour être considérée comme une cible. En raison d’un manque de connaissances informatiques, elles avaient également tendance à vouloir confier la responsabilité de la cybersécurité à des tiers, tels que des prestataires de services informatiques. «Un problème systémique auquel il convient de s’atteler», recommande Carlo Pugnetti.
À partir de l’ensemble des observations et informations recueillies, trois recommandations pratiques ont finalement été formulées à l’attention des PME. Dans ce cadre, la mobilisation des employés et la lutte active contre les cyberrisques occupent une place centrale. Une entreprise dont les employés sont vigilants et ont été informés en conséquence sera mieux préparée pour faire face à une tentative d’attaque. En outre, au cas où l’attaque aurait réellement lieu, des employés bien préparés et des plans de restauration bien rodés permettent de limiter les dégâts.
1. Sensibiliser
2. Qualifier les employés
3. S’entraîner au mode de restauration
Ces recommandations sont fournies à titre de complément aux mesures générales de protection. Une assurance contre les cyberrisques permet en outre de mieux maîtriser ce genre de risques.
par Carlos Casián et Carlo Pugnetti
Comment l’équipe de recherche a-t-elle procédé en utilisant l’approche des «métaphores profondes»?
Les résultats ont émergé de l’interaction entre les personnes interrogées et l’analyse de l’équipe de recherche. Ils ne prétendent pas être représentatifs, mais permettent une compréhension plus approfondie du problème.