En septembre 2017, l’institut de recherche gfs a réalisé 300 entretiens avec des dirigeants de PME suisses. L’objectif était de sonder leurs connaissances, leurs attitudes et leurs mesures dans le domaine des cyberrisques. Les principales conclusions sont les suivantes:

La moitié environ des entreprises gèrent les secrets commerciaux et 60% les données personnelles des clients.

Le directeur général est lui-même responsable de la sécurité informa-tique dans plus de la moitié des entreprises. Dans 51% d’entre elles, ces derniers se sentent bien ou très bien informés sur les risques informatiques.

Il existe un écart évident entre l’évaluation des risques et les préoc-cupations réelles: seulement 10% des dirigeants considèrent que le risque d’être mis hors service pendant une journée constitue un danger majeur ou très important.

«Seules 15% des entreprises interrogées ont formé leurs collaborateurs.»

Or les chiffres montrent une image différente: d’après l’enquête, le nom­bre d’entreprises touchées par le chantage peut être estimé à 23 000 et environ 209 000 entreprises peuvent avoir été touchées par des logiciels malveillants, virus et chevaux de Troie.

Une majorité de PME a mis en œuvre des mesures technologiques élémentaires dans le domaine de la sécurité informatique. En revanche, les mesures organisationnelles sont manifestement négligées. Seules 15% des entreprises interrogées ont dispensé aux employés une formation sur l’utilisation sécuritaire des IT. Cette situation est d’autant plus alarmante que plus des trois quarts des cyberattaques réussies le sont en raison d’une erreur humaine.

Comment réagir?

Dans un premier temps, les PME devraient faire le point sur leur exposition aux risques de cybercriminalité et sur l’ampleur des dommages potentiels. Pour aider les PME à répondre à cette question, l’administration fédérale a mis au point (sous l’appellation «Melani») en collaboration avec d’autres organisations un test rapide de cybersécurité:

www.cybersecurity-check.ch

La meilleure arme, le bon sens

Pour commencer, il suffit déjà de recueillir quelques informations générales pour se faire une première idée de son propre degré d’exposition aux risques. Il s’agit notamment de se poser les questions suivantes:

Quel est le nombre de systèmes informatiques, de réseaux et d’interfaces connectés à Internet?

Quels sont les systèmes centraux (ERP, CRM, DMS, etc.) et leurs interfaces avec Internet?

«les ¾ des attaques réussies le sont en raison d’une erreur humaine.»

Comment le trafic des données internes au réseau et des données liées aux interfaces Internet est-il réglementé? Existe-t-il un pare-feu?

Comment les droits d’utilisateur sont-ils définis?

Comment seriez-vous touchés?

Aussi hétérogène que soit le monde des PME, le potentiel de risque offre lui aussi une diversité totale de cas en cas. Un bureau fiduciaire, par exemple, est touché de manière très différente d’une boulangerie. Parmi les indicateurs clés figurent:

• la dépendance à l’égard de systèmes potentiellement compromis,

• les secrets des affaires,

• les données personnelles du client,

• la portée et la confidentialité des documents gérés.

Quelle que soit la méthode retenue, les PME doivent aborder de manière proactive la question de la sécurité informatique. Compte tenu des risques accrus, elle devraient accorder une attention plus importante à la sensibilisation et à la formation de leurs collaborateurs.

Stephan Loeb

www.cybersecurity-check.ch