Cybersécurité: les PME ont intérêt à faire appel à un prestataire informatique
Les PME qui collaborent avec un prestataire IT sont mieux protégées contre les cyberattaques, comme le montre la troisième étude PME de la Mobilière et de ses partenaires consacrée au télétravail et à la cybersécurité. Si de nombreux outils permettent de renforcer le rôle clé des prestataires IT auprès des entreprises, des lacunes subsistent.
C’est déjà la troisième fois que la Mobilière réalise une enquête représentative sur le télétravail et la cybersécurité, avec digitalswitzerland, la Haute école spécialisée du nord-ouest de la Suisse, l’Académie suisse des sciences techniques et gfs-zürich. Dans tout le pays, plus de 500 personnes à la tête d’une PME suisse ont été interrogées l’année dernière. Il ressort notamment de cette étude que les entreprises restent peu conscientes des risques liés aux cybermenaces et négligent en particulier les mesures organisationnelles de cyberprotection. Parallèlement, les chiffres du télé- travail baissent, atteignant presque un niveau prépandémique.
L’information est là, mais...
En matière de cybersécurité, les responsables de PME se sentent bien informés: la moitié d’entre eux considéraient même être plutôt bien, voire très bien informés. Plus ils sont conscients des risques, plus ils sont enclins à mettre en œuvre les mesures de sécurité nécessaires, surtout sur le plan technique. La situation n’a pas beaucoup évolué par rapport aux années précédentes. Toutefois, le maillon faible reste l’humain, et les cyberpirates en profitent. Dans ce domaine, les mesures sont insuffisantes, tant au niveau de leur planification que de leur mise en œuvre.
Rôle clé des prestataires informatiques
Un autre résultat de cette étude est frappant: les entreprises qui font appel à un prestataire IT (soit 30% des PME, mais avec de fortes disparités régionales) recourent davantage à des mesures de cyberprotection.
Lacunes persistantes
Les PME qui collaborent avec un prestataire IT sont mieux protégées. La situation n’est toutefois pas aussi idyllique qu’il n’y paraît. Andreas W. Kaelin, directeur de l’association Alliance Sécurité Digitale Suisse, précise: «Souvent, les PME confient leur cybersécurité à leur partenaire IT les yeux fermés, sans se demander qui fera quoi et sans connaître les réelles compétences de ce partenaire». Il peut en résulter des failles dans leur cyberprotection.
Boîte à outils pour prestataires IT
Différentes initiatives aident les PME et les prestataires IT à lutter contre les cyberattaques. C’est le cas de la plateforme numérique Cybero, qui bénéficie entre autres du soutien du Centre national pour la cybersécurité (NCSC) et de la Mobilière. Cette plateforme vise à offrir aux PME les mêmes possibilités que celles dont disposent les grandes entreprises pour se protéger contre les cybercriminels. Cybero met gratuitement à disposition des connaissances et des outils: par exemple, une formation à la cyberprotection pour les très petites entreprises, une base de données de prestataires, une aide pour effectuer des audits ainsi qu’un «cyber check» permettant, d’une part, aux PME d’autoévaluer leur niveau de cybersécurité et, d’autre part, aux prestataires IT de déterminer les mesures de protection à mettre en place chez leur clientèle.
La cyberrésilience des PME suisses en ligne de mire
Le label de qualité CyberSeal d’Alliance Sécurité Digitale Suisse vise aussi à améliorer la collaboration entre PME et prestataires IT. Ce label atteste qu’un prestataire IT est compétent pour protéger sa clientèle de manière appropriée. «Tout le monde y gagne, souligne Andreas W. Kaelin. Le prestataire IT peut ainsi enrichir son savoir-faire et mieux se positionner sur le marché. Pour les PME, c’est la garantie d’être bien protégées.» Cela permet ainsi de renforcer en continu la sécurité des PME dans le cyberespace. Quant aux prestataires IT, ils peuvent assumer encore mieux leur rôle clé en matière de cyberprotection.
Plus d’informations
Vous trouverez les principaux résultats de l’étude «Télétravail et cybersécurité dans les PME suisses» ainsi que toutes les infographies sur:
mobiliere.ch/etude-pme
«Il y a une grande marge de progression en matière d’organisation»
Beaucoup de PME suisses s’estiment plutôt bien informées en matière de cybersécurité – une impression trompeuse. Responsable du centre de compétences Cyber Risk de la Mobilière, Andreas Hölzli explique pourquoi la conscience des risques est insuffisante et comment on peut l’élever. Interview: Coen Kaat
Les PME suisses en font-elles assez pour leur cybersécurité?
Selon une étude réalisée l’an dernier, un tiers des PME suisses a déjà été victime d’une cyberattaque, le plus souvent sous la forme d’un maliciel, d’un virus ou d’un cheval de Troie. L’étude révèle que les entreprises déjà touchées sont plus enclines à accroître leur niveau de protection. Mais on constate une grande disparité dans la façon de procéder: les PME prennent généralement des mesures techniques: sauvegardes régulières, mises à jour logicielles et protection des réseaux wi-fi par mots de passe. En revanche, il existe encore une grande marge de progression en matière d’organisation: plans d’urgence, audits de sécurité et formation du personnel sont trop souvent négligés. En adoptant des mesures de prévention simples, les entreprises pourraient déjà nettement réduire les risques.
La prise de conscience du risque reste faible selon l’étude. À quoi est-ce dû?
La plupart des responsables de PME ont le sentiment d’être bien informés en matière de cybersécurité. Les petites entreprises en particulier se croient en sécurité car elles imaginent que les cyberattaques ne visent que les grandes sociétés. Or, il faut savoir que qui dit accès à Internet, dit risque de piratage informatique. Lorsque les portes d’une entreprise restent ouvertes la nuit, on comprend aisément qu’il y a un risque d’intrusion. En revanche, un acte de piratage sur un ordinateur ne se voit pas. Les conséquences pour les activités quotidiennes sont désastreuses, mais les risques sont difficiles à saisir en amont. Alors que les grandes entreprises disposent de services dédiés à la prévention des cyberattaques, de nombreuses PME ne se protègent pas assez et sont ainsi des proies faciles.
Comment accroître cette prise de conscience?
Il faut informer et sensibiliser encore, en explicitant les risques et les dangers potentiels pour les rendre plus concrets. Mais prendre conscience ne suffit pas: pour limiter réellement les risques de cyberattaque, il faut agir.
Que conseillez-vous aux PME qui cherchent un prestataire informatique pour améliorer leur niveau de sécurité?
Pour connaître les compétences d’un prestataire, on pourra vérifier s’il est certifié selon la norme ISO 27001 (sécurité des systèmes d’information). Le label de qualité «CyberSeal» de l’Alliance Sécurité Digitale Suisse représente lui aussi un gage de compétences en la matière. Il distingue les prestataires qui garantissent à leur clientèle un niveau de protection adéquat en mettant en œuvre les mesures techniques et organisationnelles appropriées. Le site www.cybero.ch recense pour sa part les prestataires IT spécialisés dans la cybersécurité et propose aux entreprises un premier «cyber check» gratuit. Mais la meilleure approche consiste à rechercher un échange personnel avec des prestataires potentiels et à s’informer de leurs certifications, références et autres attestations.
A quoi faut-il veiller lorsque l’on externalise sa sécurité auprès d’un prestataire IT?
Il faut garder à l’esprit que, même si la sécurité est externalisée, la PME reste responsable en la matière. Les responsabilités et le partage des tâches entre PME et prestataire doivent donc faire l’objet d’un contrat de collaboration détaillé, qui précise les thèmes relevant de la technique, de l’organisation, des processus et du droit. Les termes du contrat doivent aussi inclure des règles qui garantissent le respect des dispositions légales en matière de protection des données et d’autres exigences de sécurité.
