Les PME sous-estiment-elles la cybersécurité?

Plus de la moitié des PME suisses s’estiment bien préparées à une cyberattaque. Mais les plans d’urgence et les responsabilités en matière de cybersécurité sont rares. Telle est la conclusion quelque peu décevante d’une étude, car les PME sont assurément des cibles intéressantes pour les attaques de cybercriminels.

C’est un paradoxe: certes, une petite majorité des PME se disent bien préparées pour faire face à une cyberattaque. Mais dans le même temps, l’étude de 2024 sur la cybersécurité (en allemand) montre que les mesures organisationnelles font particulièrement défaut. C’est notamment le cas au niveau des plans d’urgence, des concepts de sécurité ou des formations de sensibilisation à la sécurité pour les collaborateurs. Et chez 44% des PME interrogées, personne n’est responsable de la sécurité informatique, bien que les risques opérationnels relèvent des attributions du chef d’un point de vue juridique.

Dans le même temps, le nombre de cyberattaques augmente. Ainsi, l’Office fédéral de la cybersécurité (OFCS) rapporte que le nombre de sites d’hameçonnage identifiés aurait doublé en 2024 par rapport à l’année précédente pour atteindre environ 20 000. Selon l’étude sur la cybersécurité, 4% des PME interrogées ont été victimes d’une cyberattaque grave l’année dernière, ce qui correspond à environ 24 000 entreprises en Suisse – sans compter les attaques qui n’ont pas été recensées. Les trois quarts des victimes ont subi un préjudice financier important.

Les PME ne seraient pas une cible d’attaque? Bien au contraire!

Les petites et moyennes entreprises pensent souvent, à tort, qu’elles ne sont pas des cibles valables pour les cybercriminels. Un coup d’œil au mode opératoire des assaillants montre qu’il s’agit d’une erreur. De nombreuses cyberattaques visent un large nombre de cibles. Les systèmes sur Internet font l’objet de recherches approfondies pour détecter les failles de sécurité. Et des e-mails de phishing sont envoyés à toutes les adresses disponibles sans connaître l’identité des destinataires. Les cybercriminels adoptent une approche opportuniste: ils attaquent souvent là où c’est possible.

Et parfois, le but des assaillants est est simplement d’utiliser le site Internet d’une entreprise à leurs propres fins. C’est ce que montrent les e-mails de phishing qui tentent de récupérer les données d’accès à l’hébergement web. Les sites Internet d’entreprise peu suspects, mais mal protégés, sont des proies parfaites pour héberger des sites de phishing et améliorer la crédibilité des e-mails d’hameçonnage. Il s’agit des pages cibles des liens de phishing. L’OFCS attire également l’attention sur ces abus. Le risque de tomber dans le viseur des cybercriminels ne dépend donc pas directement de la taille de l’entreprise.

De plus, pour un cybercriminel, s’en prendre à de nombreuses petites entreprises, souvent moins bien protégées, est tout aussi intéressant qu’attaquer une seule grande entreprise. Des informations relatives à des cartes de crédit ou des données de patients peuvent facilement être revendues sur le dark web.

Les cybercriminels utilisent également des ransomwares pour crypter les données des PME et ne les leur restituent que moyennant le versement d’une rançon. Les criminels empochent fréquemment de telles rançons, car les données des entreprises sont parfois leur actif le plus précieux, même si elles n’ont objectivement aucune valeur de revente. En outre, les cybercriminels se servent également des PME et de leurs données comme passerelle leur permettant d’attaquer les systèmes informatiques de grandes entreprises.

Lacunes en matière de sécurité et vulnérabilités dans les PME

Pour les cybercriminels, les PME sont des proies faciles parce qu’elles ne sécurisent souvent pas suffisamment leurs données critiques ou qu’elles n’ont pas testé la restauration de ces données. Ainsi, près de 90% des PME ont mis en place des mesures de protection de base, comme des sauvegardes et des mises à jour régulières. Mais seuls deux tiers d’entre elles ont testé si la remise en état fonctionnait – une étape essentielle d’un concept de backup.

De tels essais seraient judicieux car cela éviterait que de nombreuses PME ne se rendent compte qu’il leur manque des éléments de la sauvegarde que lorsqu’une restauration des données est entreprise suite à une situation de crise. D’une manière générale, il semble que la prévention des cyberattaques réussies – ou d’autres scénarios pouvant entraîner une interruption de l’activité – ne soit établie que dans un petit nombre de PME. Seul un tiers dispose d’un plan d’urgence et seul un quart possède un concept de sécurité qui comprend (également) des mesures de cybersécurité.

Les mesures organisationnelles: une grosse faiblesse

Par conséquent, très peu de PME connaissent leurs faiblesses en matière de sécurité. D’après l’étude, à peine un cinquième des PME interrogées avaient déjà réalisé un audit de sécurité informatique, c’est-à-dire un examen de leur propre infrastructure. Ces audits permettent de découvrir les failles de sécurité et d’identifier les risques. Ils doivent donc être effectués régulièrement.

Les changements dans le paysage IT, comme le passage aux environnements cloud, créent de nouvelles conditions-cadres ou méthodes de travail. Cela peut entraîner l’apparition de nouvelles faiblesses dans le système informatique, par exemple en raison de l’augmentation du télétravail. Un exemple parfait: quelqu’un utilise son ordinateur portable professionnel pour traiter des e-mails privés pendant son temps libre à la maison, ce qui peut tout à fait constituer une utilisation légitime. Mais si la personne clique sur un lien dans un e-mail de phishing, cela peut mettre en danger la sécurité de l’ordinateur professionnel. Il est donc d’autant plus important de sensibiliser les collaborateurs grâce à des formations sur la sécurité. Néanmoins, selon l’étude, seul un tiers des PME organisent des formations régulières, et elles sont à peu près aussi peu nombreuses à utiliser un gestionnaire de mots de passe.