La thématique de la cybersécurité n’est ni nouvelle ni réservée aux spécialistes. Les journaux se font régulièrement l’écho de cyberattaques impressionnantes et étendues. Des campagnes de prévention sont déployées au niveau fédéral et s’affichent dans les villes.

Mais on ne le dira jamais assez: les conséquences de la cybercriminalité peuvent être dramatiques. Accès indu à un système informatique, soustraction ou détérioration des données et utilisation frauduleuse d’un ordinateur sont généralement les qualifications pénales de la cybercriminalité économique. En 2021, selon l’Office fédéral de la statistique, 26 671 infractions relatives à la cybercriminalité économique ont été constatées. Au-delà du plan pénal, l’entreprise va devoir gérer les conséquences économiques et juridiques de cette intrusion malveillante.

Lire aussi: Le réseau pédagogique neuchâtelois à nouveau victime d'une cyberattaque

Outre la difficulté de la gestion de son activité commerciale, la perte de confiance et la dégradation de son image, l’entreprise devra également gérer les défaillances contractuelles subséquentes. L’intrusion d’un virus ou autre logiciel malveillant ne sera pas toujours (voire jamais) qualifiée de cas de force majeure pouvant exonérer l’entreprise de sa responsabilité contractuelle.

De victime à responsable

Ainsi, à partir du 1er septembre 2023, l’entreprise devra signaler au préposé fédéral de la Protection des données et de la transparence les cyberattaques portant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. De victime, elle pourrait donc devenir responsable des conséquences dommageables de cette intrusion malveillante.

Face à cette situation, des alliances doivent être recherchées à l’extérieur et à l’intérieur de l’entreprise. D’une part, les entreprises doivent s’organiser, ne pas rester isolées et s’entourer des meilleurs spécialistes. Dans le cadre de la gestion de leur système informatique, que ce soit en infogérance ou pour une simple prestation informatique telle que la sauvegarde de leurs données, elles doivent prendre en compte le plus en amont possible les conséquences d’une cyberattaque. Elles peuvent aussi souscrire une assurance couvrant les risques de cybersécurité.

D’autre part, les entreprises doivent puiser dans leurs forces vives, les salariés, qui doivent non seulement prendre conscience du danger, mais aussi, et surtout, être formés face à ces risques bien réels. Si la prise de conscience semble désormais bien actée au travers de campagnes d’information et de prévention, une formation simple et pratique doit suivre rapidement et, pour être véritablement efficace dans la durée, cette formation doit aussi faire l’objet de mises à jour régulières.

Diffuser dans la vie privée des salariés

Cet apprentissage pratique au sein d’une entreprise, à tous les échelons, doit aussi diffuser dans la vie privée des salariés, dans leurs foyers, avec leurs amis, au sein de leur famille. A titre d’exemple de formation librement accessible, on peut citer le MOOC (cours en ligne ouvert) du Département de l’économie et de l’emploi du canton de Genève ou le MOOC de l’Anssi, l’autorité nationale [française] en matière de sécurité et de défense des systèmes d’information. La cybersécurité est l’affaire de tous et il n’est pas nécessaire d’être salarié pour se former aux bonnes pratiques.

Comme nous avons appris, dès le plus jeune âge, les règles de base de la sécurité routière, il est désormais essentiel d’apprendre et de transmettre les bonnes pratiques en matière de cybersécurité. L’union fait la force!

Lire encore la dernière chronique de Sébastien Kulling: Quelques pistes pour réduire les inégalités numériques en Suisse

Le Temps publie des chroniques et des tribunes – ces dernières sont proposées à des personnalités ou sollicitées par elles. Qu’elles soient écrites par des membres de sa rédaction s’exprimant en leur nom propre ou par des personnes extérieures, ces opinions reflètent le point de vue de leurs autrices et auteurs. Elles ne représentent nullement la position du titre.