Cybersécurité dans les PME: structurer sans complexifier
Face à des cybermenaces croissantes, la conférence de lancement de la 4ème édition du programme Trust4SMEs, tenue le 13 mai 2025 au Centre Patronal à Paudex, a livré des clés concrètes susceptibles d'aider les PME à structurer leur stratégie de cybersécurité. Fournisseurs, assureurs, utilisateurs et experts ont partagé des leviers d’action adaptés au terrain.
La conférence de lancement de la 4ème édition du programme Trust4SMEs, organisée le 13 mai 2025 au Centre Patronal à Paudex par la Trust Valley, a réuni un large écosystème d’acteurs engagés dans la cybersécurité des PME suisses. Ce programme d’accompagnement a pour objectif d’aider les petites et moyennes entreprises à structurer leur stratégie cyber via des modules, des diagnostics et du coaching personnalisé. Fournisseurs de solutions, représentants d’assurances, responsables IT et dirigeants ont partagé leurs approches et débattu des moyens concrets de faire progresser la maturité des petites structures. La première table ronde a posé les bases d’une stratégie réaliste et progressive, entre exigences techniques et contraintes humaines.
Prioriser ce qui compte
Sergio Domingues, CTO d’Orange Cyberdefense, a rappelé que la majorité des attaques reposent sur des vecteurs simples: mots de passe faibles, absence de mise à jour, négligence des sauvegardes. La sécurité, pour être efficace, doit d’abord s’appuyer sur un inventaire précis des systèmes et des actifs critiques. Autrement dit, sans connaissance de son environnement, aucune mesure de protection ne peut être correctement dimensionnée.
Des pratiques de base, une mise en œuvre progressive
Il existe des fondamentaux incontournables tels que l’authentification multifactorielle, antivirus et EDR, sauvegardes automatisées, cloisonnement du réseau. Ces mesures doivent être considérées comme un socle minimal. Leur mise en œuvre dépend fortement de la réalité interne de chaque entreprise: organisation, maturité, ressources disponibles. Un exemple d’approche mentionné lors de la table ronde consiste en une progression par paliers, structurée autour d’un plan d’action priorisé.
Gouvernance et implication du management
Un point central a émergé lors de la première table ronde: la cybersécurité doit être intégrée à la culture d’entreprise. Cela suppose une implication claire de la direction, sans quoi la sensibilisation reste superficielle. Les professionnels présents ont insisté sur la nécessité de désigner un référent cybersécurité, même dans les petites structures et de mettre en place un minimum de gouvernance: comités de suivi, documentation, arbitrages partagés entre métiers et IT. L’enjeu est d’éviter que la sécurité devienne un frein à l’agilité, tout en restant pilotée.
Sous-traitance ne veut pas dire désengagement
Les PME délèguent souvent une partie de leur IT mais les intervenants ont rappelé que cela n’exonère pas de responsabilités. Le choix d’un prestataire doit inclure des critères de sécurité: certifications, engagement sur les délais de réponse, clauses contractuelles précises. La PME reste responsable de la sécurité de ses données, y compris en cas d’externalisation.
Mise en pratique dans une PME: le cas Hotela
David Cabero, RSSI chez Hotela, a partagé un retour d’expérience éclairant. Victime d’un ransomware déclenché par un téléchargement malveillant, l’entreprise a pu limiter les dégâts grâce à une infrastructure bien compartimentée. L’incident a tout de même entraîné une remise à plat de la gouvernance interne: campagnes de phishing simulées, refonte des chartes, implication du conseil d’administration. Une campagne a notamment révélé que 50% des membres du CA avaient cliqué sur des liens piégés. Depuis, Hotela a mis en place deux comités — stratégique et opérationnel — et s’est engagée dans une démarche de labellisation CyberSafe. Le programme Trust4SMEs a servi de catalyseur à cette évolution.
L’IA, entre usage généralisé et vide réglementaire
Selon la dernière étude mondiale menée par KPMG, 77 % des travailleurs suisses déclarent utiliser l’intelligence artificielle dans leur quotidien professionnel. Mais pour Renaud Cona, directeur des services de conseil chez Kudelski Security, 100 % des entreprises utilisent déjà l’IA, souvent sans le savoir, tant elle est intégrée par défaut dans des outils courants: assistants bureautiques, plateformes de traduction ou logiciels métiers. Cette adoption, bien que massive, reste en grande partie non encadrée.
Les intervenants, dont Renaud Cona, Aurélien Tisserand et Mahandry Rambinintsoa, ont insisté sur la nécessité d'intégrer l’IA dans les processus de gouvernance existants, en attendant que le futur cadre réglementaire (AI Act, ISO 42001) s’impose. L’IA n’est pas un cas à part: elle doit être gérée comme tout autre actif numérique.
Un programme pour structurer la montée en maturité
Le programme Trust4SMEs, soutenu notamment par le canton de Vaud, propose aux entreprises un accompagnement structuré combinant diagnostics, modules thématiques, intelligence collective et coaching personnalisé. En 2024, il a mobilisé plus de 50 partenaires, 40 intervenants et 25 coachs. La valeur d’accompagnement est estimée à plus de 100’000 francs suisses par entreprise. Au-delà des outils, le programme vise à déclencher une dynamique interne durable dans les PME, centrée sur la résilience opérationnelle.
Selon la Trust Valley, le programme produit des effets concrets: «Ce programme a un fort impact sur les entreprises puisque 77% voient leurs façons de travailler s'améliorer. De plus, 38% prennent de nouvelles décisions importantes et obtiennent des certifications. On voit concrètement les équipes mieux collaborer et les dirigeants s'impliquer davantage», déclare Lennig Pedron, CEO de la Trust Valley. Une dynamique qui se traduit par une collaboration accrue des équipes et une implication renforcée de la direction.
