Suisse 4.0

«Les cyberattaques, c’est comme les accidents, on est persuadé que cela n'arrive qu'aux autres»

Une étude réalisée par l’institut Gfs souligne que plus d’une PME sur trois a déjà subi une cyberattaque. Paradoxe: la plupart d’entre elles se sentent tout à fait protégées

La cybercriminalité ne touche pas que les grandes entreprises. Parmi 300 petites et moyennes entreprises suisses sondées, plus d’un tiers a déjà subi des cyberattaques. C’est le résultat d’une étude menée par l’institut Gfs pour le compte, entre autres, d’ICTswitzerland, l’organisation faîtière des secteurs informatique et des télécommunications. Responsable de cette enquête, Karin Mändli Lerch analyse les résultats.

Lire aussi: L’EPFL, fer de lance pour la cybersécurité en Suisse

Le Temps: Avez-vous été surprise de découvrir que plus d’un tiers des PME suisses ont déjà fait l’objet d’une cyberattaque?

Karin Mändli: Oui. Je m’attendais à une proportion plus faible. On voit que 36% des entreprises sondées ont été affectées par des malwares, c’est-à-dire des virus ou des chevaux de Troie [qui permettent de contrôler un ordinateur à distance]. Mais surtout, 4% des PME ont déjà fait l’objet d’extorsion ou de chantage liés à des cyberattaques. C’est ce dernier chiffre qui m’a le plus étonnée, car c’est là où la menace est la plus concrète. Comme le sondage est représentatif, on peut extrapoler les résultats à l’ensemble des PME suisses. Elles seraient donc environ 23 000 à avoir fait l’objet de chantage et 209 000 à avoir été affectées par des malwares.

– En même temps, la plupart des patrons qui vous ont répondu se disent confiants et semblent complètement sous-estimer le danger d’une attaque en ligne…

– Oui, c’est le paradoxe et aussi le point central de l’étude: ils devraient être plus inquiets en voyant toutes les attaques qui ont déjà lieu. Or le risque d’être victime d’une cyberattaque est jugé faible. Seuls 4% des patrons considèrent ce risque comme très significatif pour la conduite de leurs affaires, alors que, pour près des deux tiers des PME, le fonctionnement continu de leur système informatique est central pour leurs affaires. Un peu plus de la moitié (56%) jugent qu’ils sont bien protégés. C’est comme pour les accidents, on est persuadé que cela n'arrive qu'aux autres. Nous avons d’ailleurs remarqué en faisant l’étude que ceux qui sont les plus sensibles à la question sont ceux qui ont déjà été victimes.

Un grand nombre de PME sont victimes d’attaques sans que cela ne provoque une préoccupation plus grande face à ces dangers

– Est-ce que les PME se disent que, vu leur taille, elles représentent des proies moins intéressantes pour les cybercriminels et sont donc moins à risques que les grandes entreprises?

– Nous ne leur avons pas posé la question directement, mais c’est probablement ce qu’elles pensent. Pourtant, ce postulat est faux, les résultats le montrent: les PME ne sont pas épargnées. Si on prend l'exemple d’un employé qui ouvre un spam ou qui clique sur un mauvais lien, ce risque existe en fait pour toutes les tailles d’entreprise. Pourtant, la formation des employés à ce genre de problème n’est même pas du tout mise en pratique dans 29% des PME. Elle n’est optimale que chez 15% d’entre elles.

Lire également: L’EPFL crée un pôle de cybersécurité

– Pourtant, on parle beaucoup de cybercriminalité, avec des attaques, comme WannaCry, qui ont fait des victimes dans le monde entier. Que faut-il faire? Faut-il prendre des mesures?

– Une sensibilisation est encore nécessaire, déjà pour en finir avec le paradoxe qu’un grand nombre de PME sont victimes d’attaques sans que cela ne provoque une préoccupation plus grande face à ces dangers. Ensuite, concernant les mesures, il existe un catalogue de possibilités et un groupe d’experts de la Confédération y travaille, mais c’est aux entreprises de voir ce qui leur convient, qu’il s’agisse d’assurances, de conseils, etc.

Publicité