swisscom – La plupart des PME se considèrent comme bien préparées à une cyberattaque. Mais les plans d’urgence et les responsabilités en matière de cybersécurité restent rares.
C’est un paradoxe: certes, une faible majorité des PME affirment être bien préparées à une cyberattaque. Mais l’étude «Cyberstudie 2024» montre que les mesures organisationnelles manquent. On parle de plans d’urgence, de concepts de sécurité et de formations de sensibilisation à la sécurité pour les employés. Pour 44% des PME interrogées, personne n’est responsable de la sécurité informatique, alors que les risques opérationnels relèvent légalement de la responsabilité de la direction. Dans le même temps, le nombre de cyberattaques augmente. Selon l’Office fédéral de la cybersécurité (OFCS), les sites de phishing ont doublé en 2024: on en dénombre environ 20’000. Selon l’étude, 4% des PME ont été victimes d’une cyberattaque grave, soit environ 24’000 entreprises en Suisse, sans compter les cas non signalés. Les trois quarts de ces victimes ont subi des pertes financières substantielles.
Les PME pensent souvent et à tort qu’elles ne constituent pas des cibles intéressantes pour les cybercriminels. De nombreuses cyberattaques visent les failles de sécurité et des e-mails de phishing sont envoyés à toutes les adresses disponibles. Les cybercriminels attaquent là où ils le peuvent. Leurs cibles peuvent aussi être des sites web mal protégés, utilisés à des fins d’hameçonnage. L’OFCS attire l’attention sur l’utilisation abusive des sites web d’entreprises dans le but d’obtenir des données d’accès à l’hébergement web, et ce quelle que soit la taille de l’entreprise.
Les attaques contre de nombreuses petites entreprises, souvent moins bien protégées, sont tout aussi rentables que celles contre les grandes. Les données concernant les cartes de crédit ou les clients peuvent être facilement monnayées sur le darknet. Les cybercriminels les cryptent à l’aide de ransomwares et exigent une rançon. Les PME paient, car leurs données sont indispensables. Les attaquants utilisent aussi les PME comme porte d’entrée vers des proies plus importantes.
Les PME sont des proies faciles, car elles ne sécurisent pas suffisamment leurs données ou n’ont pas testé leur restauration. Si 90% d’entre elles ont mis en place des mesures de protection de base telles que des sauvegardes et des mises à jour, seulement deux tiers testent la restauration, étape essentielle.De nombreuses entreprises ne se rendent compte que leurs sauvegardes sont incomplètes qu’en cas de crise. La prévention des cyberattaques est rarement mise en place: seul un tiers dispose d’un plan d’urgence et un quart d’un concept de sécurité comprenant des mesures de cybersécurité.
Peu de PME connaissent leurs failles en matière de sécurité. Seul un cinquième d’entre elles ont déjà réalisé un audit de sécurité informatique visant à contrôler leur propre infrastructure. Des audits réguliers sont nécessaires pour identifier les nouveaux risques, en particulier lors du passage à des environnements cloud ou du recours au télétravail. L’utilisation d’un ordinateur portable professionnel pour envoyer des e-mails privés, qui comporte des risques de phishing, en est un excellent exemple. Les formations sont donc importantes, mais seul un tiers des PME organise régulièrement des formations et utilise des gestionnaires de mots de passe.
Tout et tout le monde, partout et toujours en sécurité avec beem: navigation sécurisée sur beemNet, accès sécurisé aux données de l’entreprise, défense contre les cyberattaques complexes, protection complète contre les fuites de données et bien plus encore.
