Zurich (awp) - Alors que les attaques informatiques se sont multipliées ces dernières années, les petites et moyennes entreprises (PME) n'accordent toujours guère d'importance aux questions de sécurité informatique, selon une étude. Elles ne sont que 18% à juger élevé le risque qu'une cyberattaque paralyse leur activité durant au moins un jour, une proportion toutefois en hausse par rapport à 2021, alors que la moitié estiment le danger faible.
Sur les 504 dirigeants de PME comptant entre 4 et 49 salariés interrogés, un peu plus d'un quart (27%) estime le risque de cyberattaque minime, selon le sondage de l'institut d'étude de marché gfs-zürich publié mardi par digitalswitzerland, la Mobilière, l'Alliance Sécurité Digitale Suisse, de la Haute école spécialisée du Nord-Ouest de la Suisse (FHNW) ainsi que l'Académie suisse des sciences techniques (SATW). L'an passé, cette proportion atteignait 26% après 36% en 2020. Quelque 23% des responsables sondés jugent le danger réduit, contre 27% en 2021.
Si la prise de conscience des risques s'accroît, celle-ci ne s'accompagne cependant pas d'une mise en oeuvre plus décidée de mesures de sécurité organisationnelles et techniques. Reste que la proportion des PME souhaitant s'attaquer au problème dans un délai d'un à trois ans s'inscrit désormais à 55%, contre 40% en 2021.
"Même s'il est avéré que les petites et moyennes entreprises constituent également une cible intéressante pour une attaque, de nombreuses mesures de protection de base, en particulier sur le plan organisationnel, ne sont pas mises en oeuvre de manière satisfaisante", relève Nicole Wettstein, responsable du programme Cybersécurité à l'Académie suisse des sciences techniques (SATW) citée dans le communiqué. Elles semblent cependant trop laxistes ou dépassées par la problématique pour pouvoir engager des mesures susceptibles de réduire les risques.
Pas intéressés par la cybersécurité
Outre la médiatisation du sujet, d'autres efforts sont donc nécessaires pour encourager la mise en place de mesures de cybersécurité en particulier en matière organisationnelle. Alors que les PME sont plus enclines à s'activer au niveau technique, elles négligent par exemple souvent la formation des collaborateurs, la réalisation d'audits de sécurité ainsi que la mise en place d'un système de sécurité.
En résumé, la mise en oeuvre de mesures organisationnelles dans les entreprises laisse d'autant plus à désirer lorsque les directeurs des PME ne s'intéressent pas aux thèmes en lien avec les cyberrisques. "De nombreuses PME continuent d'ignorer ce danger réel de l'espace numérique. En tant que spécialiste des cybersinistres, je connais les conséquences des cyberattaques. Pour les limiter au maximum, il est important de définir clairement les responsabilités informatiques dans les entreprises", explique Simon Seebeck, spécialiste des sinistres à la Mobilière.
Question récurrente, la sécurité informatique ne peut pas être entièrement déléguée à un prestataire externe, comme le font pas moins d'un tiers des entreprises interrogées, note l'étude. La qualité des prestations informatiques externes joue donc un rôle décisif pour le niveau de sécurité des PME.
Le danger reste toutefois élevé lorsque les PME font aveuglément confiance à leurs prestataires de services informatiques et négligent totalement les mesures de sécurité organisationnelles.
Se penchant également sur le recours au télétravail, l'enquête démontre également que ce dernier est revenu au niveau d'avant la crise sanitaire. Selon Marc Peter de la Haute école spécialisée du Nord-Ouest de la Suisse, "les résultats montrent que les directeurs des PME sont lassés du télétravail et souhaitent à nouveau voir davantage de personnel dans les bureaux. Il est probable que de nombreux salariés se sont habitués à un mode de travail moderne, numérique et hybride et demandent également cette flexibilité dans les entreprises. Un aspect à ne pas négliger dans un contexte de pénurie d'employés qualifiés".
vj/al
