Conférence

Les PME suisses ignorent encore les risques de cybercriminalité économique

Les entreprises ne réagissent que lorsqu’elles sont victimes d’une attaque ou d’un vol de données

Novembre 2014. Sony Pictures Entertainement (SPE) – filiale nippone de Sony – se voit dérober 100 000 gigaoctets de données personnelles appartenant à ses clients. Avril 2015. La chaîne de télévision francophone TV5Monde cesse d’émettre après avoir perdu le contrôle de son site internet et de ses différents relais sur Facebook, Twitter et YouTube, qui se sont mis à diffuser de la propagande en faveur de l’État islamique. Août 2015. Des pirates informatiques réunis sous le pseudonyme The Impact Team volent, puis publient les données personnelles de 32 millions d’utilisateurs du site de rencontres Ashley Madison.

Sony, TV5Monde, Ashley Madison, trois exemples emblématiques de cybercriminalité économique survenus ces douze derniers mois qu’aucune autre entreprise ne voudrait vivre un jour. Avec la numérisation galopante des systèmes de communications, les cas se multiplient. Selon KPMG, les pertes liées à la criminalité économique se chiffraient à 537 millions de francs suisses en 2014, dont 200 millions imputés à des activités cybercriminelles telles que vols de données, rançonnages, escroqueries, attaques informatiques.

Se défendre en amont

Pourtant, souligne KPMG, 53% des PME suisses admettent n’avoir aucun plan de secours à la suite d’un tel incident. «Il est encore difficile de les sensibiliser à cette problématique», regrettent Isabelle Augsburger-Bucheli et Sébastien Jaquier. La docteure en droit et l’informaticien de gestion à l’Université de Neuchâtel officient tous les deux à la tête de l’Institut de lutte contre la criminalité économique (ILCE), créé en 2000. Hier, ils étaient les invités de la 6e journée stratégique, à Neuchâtel, consacrée à la cyberguerre, au cyberterrorisme et à la cybercriminalité. Un événement organisé par Clusis, l’association suisse de la sécurité de l’information.

Malgré la médiatisation des cas de cybercriminalité économique, nos deux experts regrettent le manque de prise de conscience des entreprises suisses: «Elles nous contactent lorsque le mal est fait, souligne Sébastien Jaquier. Mais en amont, elles ne se sentent pas nécessairement concernées par les cas qui se sont produits à l’étranger. Les PME nous disent qu’elles implémentent de bons processus internes qui les protègent des attaques. Peut-être, mais personne n’est à l’abri.» Pourquoi ce déni?

Les explications sont multiples. D’abord le coût des mesures pour se prémunir d’actes de cybercriminalité économique en rebute plusieurs. «Il ne s’agit pas forcément de solutions techniques, argumente Isabelle Augsburger-Bucheli. Il s’agit d’une prise de conscience qui implique la formation du personnel et la remise en question des processus internes.» En d’autres termes, se poser les questions basiques: mon entreprise est-elle vulnérable? Quelles sont les informations à protéger?

Boom de la cyberassurance

L’autre motif s’explique par l’omerta qui prévaut lorsque des entreprises sont victimes d’une attaque informatique. Pour des raisons concurrentielles, «elles n’en parlent pas, ajoute Sébastien Jaquier. Au sein de l’Institut de lutte contre la criminalité économique, nous tentons de leur expliquer ce qu’elles peuvent gagner par la prise de mesures techniques et humaines pour se défendre en amont. C’est un message qui reste encore compliqué à leur faire passer.»

Les entreprises sont donc de plus en plus nombreuses à s’assurer en cas de cyberrisques. Deux études publiées fin 2015 par Allianz Global Corporate & Speciality (AGCS) et PwC prédisent un boom mondial du secteur des primes de cyber-assurance. Un marché qui devrait atteindre un volume de 7,5 milliards de dollars en 2020. Près du triple en 2025.

Publicité