Les PME suisses sont toujours à la traîne en matière de sécurité IT

Les PME suisses ne font guère de progrès dans le domaine de la cybersécurité. C'est la conclusion d'une étude menée par Digitalswitzerland, la Mobilière, la Haute école spécialisée du Nord-Ouest de la Suisse (FHNW), l’Académie suisse des sciences techniques (SATW) et l’Alliance Sécurité Digitale Suisse. Les résultats ont été présentés dans le cadre d'une conférence de presse en ligne.

11% des entreprises interrogées ont déclaré avoir déjà été victimes d'une cyberattaque qui a nécessité des efforts considérables pour s’en relever. Parmi ces dernières, plus de la moitié ont déploré un préjudice financier. Alors que 13% ont déclaré que l'attaque avait entraîné une perte de données clients ou une atteinte à la réputation. 

Malgré le fait que la plupart des PME suisses disent prendre au sérieux la cybercriminalité, seule une minorité prévoit des mesures pour s’en prémunir, résument les auteurs de l’étude. Simon Seebeck, responsable du centre de compétences Cyber Risk de La Mobilière, a rappelé lors de la conférence que ces mesures doivent également être tenues à jour et maintenues. Un pare-feu dans un réseau non ou mal configuré n'offre aucune sécurité - tout au plus une fausse sécurité - a-t-il déclaré.

Lacunes au niveau des mesures organisationnelles

Pour vérifier les initiatives techniques mises en place par les PME suisses, l’étude s’est intéressée au jugement des participants quant au degré de déploiement de plusieurs mesures (sur une échelle de 5; 1 = pas du tout; 5 = pleinement). Dans l'ensemble, les mesures techniques se situent à un niveau relativement élevé, entre 3,9 et 4,5, soit un niveau pratiquement inchangé par rapport à 2022 et 2021. On ne peut pas en dire autant des mesures organisationnelles. Alors que la possibilité de récupérer les données est sous contrôle (4,2) et que les informations personnelles ne sont partagées qu'avec prudence (4,2), la formation régulière des collaborateurs (2,9) et la réalisation d'un audit de sécurité (2,8) se situent à l'autre extrémité du spectre.

«Les cybercriminels pensent en termes économiques et cherchent la voie de la moindre résistance», a encore fait observer Simon Seebeck, avertissant que dans ce contexte, les PME qui négligent leur cybersécurité deviennent des proies toutes désignées. Plus les failles dans la cyberdéfense d'une entreprise sont importantes, plus il est probable qu'elle soit victime d'une attaque entièrement automatisée. Donc particulièrement avantageuse pour les attaquants.

Les PME misent aussi sur les prestataires externes

Pour cette quatrième édition, l’étude a introduit un nouveau thème: les prestataires de services externes. Il apparaît que plus de trois-quarts des entreprises interrogées y ont recours. Parmi elles, 84% se font également conseiller et assister en matière de cybersécurité. Andreas Kaelin, directeur de l'Alliance pour la sécurité numérique en Suisse et Senior Advisor chez Digitalswitzerland, déplore que, dans ce contexte, à peine plus de la moitié des prestataires de services informatiques puissent faire état d'une certification en matière de sécurité informatique. «Il est impératif que des compétences de base en cybersécurité puissent être démontrées», a-t-il déclaré lors de la conférence de presse.

Lors de la conférence, Marc K. Peter, directeur du centre de compétences pour la transformation numérique à la FHNW, a réagi à la récente attaque qui a marqué les esprits en Suisse. Celle à l'encontre de Xplain, prestataire IT de la Confédération. «Nous ne sommes pas encore suffisamment sensibilisés à la nécessité d'inclure la dépendance aux fournisseurs dans la sécurité informatique», a-t-il alerté. Les auteurs de l'étude pourraient analyser ce thème dans une future étude.   

Pour l'étude, 502 directeurs et chefs d'entreprise ont été interrogés entre le 18 avril et le 13 juin. A noter que le nombre d'attaques en Suisse a nettement augmenté vers la fin et surtout après la période de l'enquête.