En Suisse, 45% des entreprises de plus de 250 employés ont déjà été au moins une fois victime d'une cyberattaque. C'est ce qui ressort du dernier SwissVR Monitor publié lundi dans le cadre duquel 400 membres de conseils d'administration d'entreprises cotées en bourse et de PME de divers secteurs ont été sondés sur le thème de la cyberrésilience.
L'étude, menée en partenariat avec le cabinet de conseil Deloitte et la Haute école de Lucerne entre mi-mai et début juillet, montre une corrélation entre la taille de l'entreprise et la fréquence des cyberattaques. En effet, le taux de firmes victimes de hackers descend à 18% pour les PME de moins de 50 employés. Cela pourrait cependant en partie s'expliquer par le fait que les attaques sont moins systématiquement relayées aux conseils d'administration des petites structures.
Risque plus élevé pour les PME
Florian Schütz, délégué fédéral à la cybersécurité et directeur du Centre national pour la cybersécurité (NCSC), contredit ce constat et fait état d’un risque plus élevé pour les PME. Interviewé par les auteurs en marge de l’étude, il estime que les entreprises de petite taille sont plus souvent ciblées par les pirates informatiques, car ce sont des proies plus faciles.
En effet, elles n’ont souvent pas les ressources financières et humaines pour se protéger efficacement contre les attaques. Beaucoup ne communiquent cependant pas sur les attaques dont elles sont victimes, par crainte pour leur réputation.
Exploitation mise à mal
Les conséquences les plus fréquentes des cyberattaques sont l'interruption de l'exploitation (42%), spécialement pour les entreprises actives dans le secteur des technologies de l'information et de la communication (TIC) où ce taux grimpe à 69%. Viennent ensuite les fuites de données (26%) et le dysfonctionnement des services fournis aux clients (20%).
Même s'ils font preuve d'une prise de conscience accrue vis-à-vis de l'augmentation des menaces en ligne, les entreprises suisses et leurs conseils d'administration doivent prendre plus de responsabilités à cet égard, estime Cédric Nabe, associé Risk Advisory chez Deloitte Suisse. Par exemple, seuls huit conseils d'administration sur dix disposent d'une politique efficace de gestion des risques cyber.
Une amélioration doit également avoir lieu dans la préparation aux attaques en ligne de grande ampleur, plaident les auteurs de l'étude. Seulement un tiers des entreprises sondées a mis en place des exercices de gestion de crise. La proportion est cependant plus élevée dans le secteur financier avec une entreprise sur deux.
(ATS)
