Il suffit d'un mail ou d'un appel téléphonique pour qu'une catastrophe se produise. Si l'on clique sur le mauvais lien, c'est une porte ouverte aux pirates. Les dégâts qu'ils peuvent causer dans les systèmes informatiques sont régulièrement mis en évidence par des incidents: on ne compte plus les dégâts dans l'affaire Xplain, où des données sensibles de la Confédération se sont échappées dans le Darknet.
«Les pirates sont très intelligents et développent constamment des scénarios d'attaque», explique Simon Seebeck, responsable du centre de compétences Cyber Risk à la Mobilière. Mais les attaques ne concernent pas seulement les grandes entreprises ou les particuliers: «Les petites et moyennes entreprises (PME) partent souvent du principe que les cybercriminels ne s'intéressent pas à elles. Mais c'est une fausse idée», explique le spécialiste.
Quatrième enquête sur le sujet
Le contraste est saisissant avec le fait que de nombreuses PME suisses n'accordent que peu d'attention à la cybersécurité ou font même aveuglément confiance à leurs prestataires de services informatiques. C'est la conclusion de l'enquête sur la numérisation et la cybersécurité dans les PME en 2023. C'est la quatrième enquête de ce type en série.
Pour cette étude, 502 directeurs de PME ont été interrogés entre le 18 avril et le 13 juin 2023. L'entreprise compte entre 4 et 49 collaborateurs. «L'échantillon représente 153'000 PME en Suisse», explique l'auteur de l'étude Karin Mändli Lerch de GFS Zurich. L'étude a été réalisée sur mandat de digitalswitzerland, de l'assurance La Mobilière, de la Haute école spécialisée du Nord-Ouest de la Suisse FHNW, de l'Académie suisse des sciences techniques SATW et de l'Alliance Sécurité numérique Suisse.
Selon l'étude, près de 80% des entreprises interrogées travaillent avec un ou plusieurs prestataires de services externes. Cela comporte des dangers supplémentaires: «Seule la moitié peut confirmer que ses prestataires de services informatiques sont certifiés pour assurer leur sécurité informatique. Autrement dit, l'autre moitié fait aveuglément confiance à ses prestataires informatiques», explique Andreas W. Kaelin, directeur d'Allianz Digitale Sicherheit Schweiz. C'est pourquoi un label de qualité a été introduit il y a environ deux ans pour les fournisseurs informatiques des PME, le Cyberseal.
Mieux informé qu'en 2020
Toujours est-il que le niveau général d'information des personnes interrogées sur les cyber-risques s'est légèrement amélioré depuis la première enquête de 2020. 56% se sentent aujourd'hui plutôt ou très bien informés.
En 2020, ils étaient encore moins de la moitié. L'étude montre également que les PME dont les cadres sont bien informés sont beaucoup plus susceptibles de mettre en œuvre des mesures visant à améliorer la cybersécurité que les personnes interrogées qui s'estiment peu informées. Alors que ces dernières années environ un cinquième des PME interrogées se considéraient toujours comme des «pionniers» du numérique, elles ne sont plus qu'environ un dixième en 2023.
La mesure la plus importante est d'informer les employés. Car selon d'autres études, dans près de 80% des cyber-incidents, c'est un employé qui est à l'origine du problème, selon Simon Seebeck. «L'homme est le plus grand point faible du système informatique. Mais correctement informé, il est le meilleur pare-feu», dit-il.