Les entreprises suisses sous-estiment les cyberrisques

Une enquête menée auprès d’entreprises suisses comptant jusqu’à 250 collaborateurs montre que celles-ci continuent à sous-estimer les risques de cyberattaques. Elle révèle notamment que près d’une entreprise sur trois en a fait les frais. Et la tendance est à la hausse.

À l’automne 2017, l’institut de sondages et d’études de marché gfs-zurich a demandé à des dirigeants d’entreprise de moins de 250 collaborateurs comment ils se protégeaient contre les cyberattaques. Bien que 30 % des PME sondées en aient été victimes, la plupart d’entre elles pensent malgré tout être très bien couvertes. Les associations informatiques tirent la sonnette d’alarme et appellent les autorités publiques et les organisations économiques à introduire des normes légales minimales pour que les entreprises soient mieux armées face aux cyberattaques.

Alexandre Horvath, Risk Engineer Cyber Security chez Allianz, a suivi activement l’enquête en tant qu’expert en la matière. Le résultat ne le surprend pas. «La plupart des entreprises se protègent bien contre les dommages matériels et les préjudices pécuniaires, mais un grand nombre d’entre elles sous-estiment les cyberrisques.

Pour la majorité des PME sondées, et plus particulièrement pour les plus grandes entreprises, le fonctionnement sans interruption de l’informatique est très important. Par ailleurs, il ressort de l’enquête que le secteur d’activité joue également un rôle essentiel; un fournisseur de logiciels sera ainsi davantage pénalisé par une défaillance qu’une entreprise de peinture.

Les PME sondées estiment qu’il est peu probable que leur activité soit interrompue pendant au moins une journée. Près de la moitié d’entre elles évaluent ce risque comme très faible et seulement 2 % comme très élevé.

Cette insouciance est surprenante au vu des chiffres effectifs. Le fait est que plus d’un tiers des PME sondées ont été la cible de maliciels (virus / chevaux de Troie): il y a donc un décalage énorme entre l’évaluation des risques et la réalité.

Quoi qu’il en soit, trois PME sur cinq ont pris des mesures élémentaires de protection contre les maliciels (pare-feu, sauvegarde automatique...); par ailleurs, des systèmes et des procédures en cas de cyberattaques ont été mis en place par 20 % d’entre elles. Cependant, il ressort de l’enquête que la formation du personnel à la sécurité informatique et la sensibilisation à la cybercriminalité sont insuffisantes: 30 % des PME sondées n’ont encore rien entrepris dans ces domaines.

Moins de 30 % des PME sondées se sont prononcées pour des normes minimales contraignantes régissant la sécurité informatique dans les entreprises. Celles qui estiment que le risque de cyberattaque est élevé sont favorables à l’introduction d’une telle réglementation. Les PME sondées sont d’avis que la mise en œuvre de normes incombe à la Confédération et aux associations professionnelles et que le débat sur l’introduction de normes minimales doit être poursuivi à plus grande échelle.

Un besoin que reflètent d’autres chiffres de l’enquête: seulement 12 % des dirigeants d’entreprise ont à ce jour opté pour une cybercouverture spécifique, même si plusieurs assureurs proposent une cyberassurance individuelle. «Une cyberassurance couvre les dommages directs et les coûts consécutifs à une cyberattaque, par ex. la restauration des données ou la baisse de chiffre d’affaires en cas d’interruption d’exploitation après un cyberincident», explique Alexandre Horvath. «Le fait est qu’une cyberassurance peut toutefois donner aux entreprises un faux sentiment de sécurité. Or iI est important qu’elles prennent également des mesures de sécurité pour se protéger contre les attaques», ajoute Alexandre Horvath. Il recommande aux PME de faire appel à un fournisseur de services informatiques expérimenté dans le domaine de la cybersécurité et des cyberattaques et de dispenser régulièrement des cours de formation sur la sécurité informatique à leurs collaborateurs afin de les sensibiliser à la cybercriminalité. Par ailleurs, Alexandre Horvath leur conseille de procéder occasionnellement à des examens / évaluations des risques informatiques, afin qu’elles puissent, si nécessaire, adapter leur infrastructure aux nouveaux cyberrisques ou recourir à d’autres prestations externes de protection.

Enquête sur les cyberrisques qui menacent les PME suisses (uniquement en allemand)