Dans quelle mesure les PME suisses se sentent prêtes face aux cybermenaces?
Deux PME suisses sur cinq se sentent bien préparées à faire face à une attaque, soit nettement moins qu'il y a un an. Selon l'étude «PME Cybersécurité 2025», de nombreuses petites et moyennes entreprises n’appliquent toujours pas de mesures organisationnelles suffisantes et ne donnent pas à la cybersécurité la priorité qu’elle mérite.
Les petites et moyennes entreprises suisses devraient redoubler d’efforts en matière de cybersécurité. L'étude «PME Cybersécurité 2025» montre l'ampleur des mesures à prendre. Réalisée en collaboration avec l’Alliance Sécurité Digitale Suisse (ASDS), la Mobilière, Digitalswitzerland, la Haute école du Nord-Ouest (FHNW), la HES-SO Valais-Wallis, l’Information Security Society Switzerland (ISSS), l’Académie suisse des sciences techniques (SATW), la Swiss Internet Security Alliance (SISA) et YouGov Suisse, l’étude repose sur une enquête menée par YouGov auprès de 515 décideurs IT dans des entreprises de moins de 50 employés, ainsi que 336 prestataires IT.
Les résultats montrent que les PME suisses sont largement conscientes de la nécessité de prendre la cybersécurité au sérieux et de mettre en œuvre des mesures concrètes.
Une protection nettement moins bonne
Interrogées sur leur propre niveau de cybersécurité, les PME affichent des résultats proches de l’an dernier: plus de la moitié (52%) se sentent plutôt ou très bien protégées contre la cybercriminalité, tandis qu’une petite minorité (9%) se dit plutôt ou très peu protégée.
Mais la perception de leur résilience – c’est-à-dire leur capacité à se préparer et à réagir face à une attaque – s’est nettement détériorée. L’an dernier, plus de la moitié des répondants (55%) se considéraient comme plutôt ou très bien protégés; cette année, ils ne sont plus que deux cinquièmes (42%). La moyenne sur une échelle de cinq points est passée de 3,5 à 3,3.
Autre signe inquiétant: en 2025, la cybersécurité perd de sa priorité. En 2024, près de la moitié jugeaient le sujet (très) important; cette année, ils ne sont plus qu’un tiers. En conséquence, moins d’entreprises prévoient d’accroître leurs mesures de sécurité: 40% contre 48% l’an dernier.
Des mesures organisationnelles manquantes
Cette perception d’un manque de résilience ne trompe pas. «Les PME ne se sentent pas seulement peu résilientes; elles ne le sont effectivement pas», a résumé Simon Seebeck, représentant de la Mobilière, lors de la conférence de presse présentant les résultats.
Les entreprises s’en sortent plutôt bien dans la mise en place de mesures techniques: deux tiers utilisent des dispositifs tels que des pare-feu. Mais des lacunes subsistent: seulement 53% recourent à l’authentification multifactorielle et 42% utilisent un gestionnaire de mots de passe.
En revanche, la situation est beaucoup plus critique pour les mesures organisationnelles: la moitié des dix pratiques recommandées ne sont mises en œuvre que par un tiers des entreprises. Cela inclut notamment un plan de continuité d’activité, une stratégie de sécurité formalisée, des formations régulières du personnel et des évaluations de la sécurité des fournisseurs IT et partenaires. Seules deux entreprises sur cinq réalisent des audits de sécurité réguliers.
Peu d’intérêt pour les certifications
Quelle place la cybersécurité occupe-t-elle dans le choix d’un prestataire IT? Les auteurs se sont également penchés sur cette question. Lors de la conférence de presse, Andreas Kaelin, de l'Alliance Sécurité Digitale Suisse, s’est dit préoccupé: les principaux critères des PME restent le rapport qualité-prix, le service client et la confiance dans le prestataire. Seules 30% vérifient l’expérience et l’expertise du fournisseur, et à peine 19% citent la cybersécurité parmi leurs critères de sélection.
Encore moins de PME (5%) vérifient la présence de certifications de sécurité comme les normes ISO. «Quand on sait que plus des deux tiers des PME font appel à des prestataires IT, ces résultats sont évidemment préoccupants», a souligné Andreas Kaelin, rappelant l’importance des certifications, qui permettent de savoir si le prestataire «maîtrise les bases de la cybersécurité».
Les certificats ne jouent d’ailleurs pas un rôle plus important après la sélection: 53% des répondants ne savent pas si leur prestataire IT est certifié ISO, un chiffre en forte hausse par rapport à l’an dernier. À l’inverse, 35% savent que leur prestataire est certifié, contre 44% en 2024.
L’étude complète est disponible en ligne (en allemand).
