Les PME suisses ne craignent pas les incidents sécuritaires - jusqu’à ce qu’elles en soient victimes
Deux tiers des PME suisses ne craignent pas de voir leur activité interrompue par un incident sécuritaire. La donne change pourtant dès lors qu’elles ont déjà subi une attaque. Les entreprises se montrent par ailleurs frileuses en matière de standards et autres certifications.
Selon une étude réalisée par l’institut GFS pour ICTswitzerland et d’autres organismes, les PME suisses se montrent relativement sereines quant aux risques de sécurité informatique. L’enquête conduite auprès de 300 petites et moyennes entreprises, montre qu’une informatique fonctionnelle joue un rôle majeur pour une majorité des PME, y compris les plus petites. Dans la moitié des sociétés, c’est le patron de l’entreprise qui s’occupe lui-même de la sécurité informatique. Les PME, dont la plupart détiennent des données personnelles de leur clientèle, s’estiment pour la plupart bien protégées et bien informées en matière de sécurité IT. Si un tiers d’entre elles à déjà été victime de virus et autres logiciels malveillants, seules 4% ont été victimes d’extorsions (rançongiciels), 3% de DoS et 2% de vols de données - par extrapolation, cela représente tout de même plusieurs milliers de PME suisses touchées par des incidents importants.
Chat échaudé…
Malgré leur dépendance envers l’IT, deux tiers des PME sondées estiment que le risque est faible de voir leur activité interrompue durant une journée en raison d’une attaque informatique. Seul 14% d’entre elles jugent qu’une attaque irait jusqu'à mettre leur existence en danger. La situation est toutefois sensiblement différente si l’on s’intéresse aux PME qui ont déjà été victimes d’incidents graves. Ces dernières jugent les risques plus élevés et 20% d’entre elles se sentent très mal protégées. Elles sont aussi plus nombreuses à envisager des améliorations de leur sécurité IT ces prochaines années.
Protections minimales
Sur la totalité des PME sondées, la moitié ne prévoit pas d’améliorer sa protection contre des cyberattaques. Seul 60% des organisations disposent d’une protection basique complète (protection contre les malware, pare-feu, gestion des patchs, et backup). En d’autre termes, 40% des PME n’ont pas adopté ces mesures minimales. Les protections plus avancées (identification d’incidents, procédure en cas d’incident, formation des collaborateurs notamment pour reconnaître des spam) n’ont été mises en oeuvre que dans 15 à 20% des sociétés.
Peu d’intérêt pour des standards de sécurité
Seul un tiers des PME applique des standards en matière de sécurité IT, en général des prescriptions sectorielles ou internes. Seul 30% des sociétés s’intéresseraient à un catalogue de mesures sécuritaires, et seul 29% se disent en faveur de standards minimaux pour les entreprises suisses. La majorité n’aimerait pas non plus assister à l’introduction d’une certification nationale concernant la protection des données personnelles.
GFS a également interrogé les PME au sujet de l’obligation d’annoncer les incidents sécuritaires dont elles sont victimes. Les avis sont contrastés: 60% des petites entreprises estiment qu’une telle obligation servirait de système d’alarme et améliorerait la sécurité de tous, mais 42% trouvent aussi qu’il s’agirait d’une nouvelle charge inutile pesant sur les PME.
