Les cyberattaques sont en hausse et de plus en plus sophistiquées, et les PME sont dans la ligne de mire des criminels.
Le rapport de l’UE sur les PME et la cybercriminalité révèle que 28 % des petites et moyennes entreprises européennes ont connu au moins une forme de cyberattaque en 2021. Une autre étude de la société suisse La Mobilière, intitulée Télétravail et cybersécurité dans les PME suisses, explique que les entreprises suisses qui utilisent un fournisseur de services informatiques – ce qui représente environ 30 % des PME selon les régions – sont mieux protégées que celles qui n’y ont pas recours.
L’étude de La Mobiliére tire plusieurs conclusions et recommandations clés pour les PME qui cherchent à se protéger contre les cyberattaques.
Principales conclusions
- Les équipes de direction des PME ont souvent le sentiment d’avoir une bonne compréhension des menaces cybernétiques. Cette confiance est peut-être infondée.
- Les petites et moyennes entreprises qui ont déjà été victimes d’une cyberattaque seront plus enclines à renforcer leurs mesures de sécurité à l’avenir.
- De nombreuses PME suisses mettent actuellement en place des mesures techniques pour se protéger.
- Les PME qui travaillent avec des fournisseurs de services informatiques pour garantir leur cybersécurité sont mieux protégées contre les attaques.
- Les solutions techniques de cybersécurité ne suffisent pas à elles seules à protéger totalement les entreprises contre les attaques.
- Le comportement des utilisateurs individuels représente souvent la plus grande menace de cybersécurité.
Pourquoi les PME ne sont-elles pas correctement protégées ?
Le rapport indique clairement que les PME suisses prennent en effet des mesures pour se protéger contre les cyberattaques, mais que ces mesures sont souvent loin d’être suffisantes. Voici quelques-unes des raisons les plus courantes expliquant ce décalage :
- L’idée fausse selon laquelle les PME ne seront pas visées parce qu’elles sont plus petites et passent inaperçues, qu’elles ne sont pas considérées comme des cibles de valeur par les criminels.
- Si la sécurité informatique est externalisée à un fournisseur de services IT, aucune mesure supplémentaire n’est nécessaire.
- La prise de conscience en matière de menaces cybernétiques au niveau de la force de direction ne se reflète pas dans toute l’entreprise.
- Une formation continue de sensibilisation à la sécurité informatique n’est pas offerte à tout le personnel informatique de l’entreprise.
Il est vrai que la grande majorité des cyberattaques consistent à cibler le personnel à travers des tentatives d’hameçonnage. Bien que les PME ne soient pas seules dans cette situation, l’ampleur des dommages occasionnés et les risques de perturbations opérationnelles peuvent être bien plus importants pour les petites sociétés.
Que rechercher dans un fournisseur de services informatiques
Les auteurs du rapport offrent les recommandations suivantes aux PME suisses qui cherchent à développer un partenariat efficace avec un fournisseur de services informatiques afin d’améliorer leur résilience face aux attaques cybernétiques et aux menaces actuelles :
- Il est nécessaire de vérifier que ce partenaire détient une accréditation ou une certification officielle faisant preuve de ses compétences, par exemple ISO 27001 ou « CyberSeal » en Suisse.
- Des audits de sécurité réguliers doivent être inclus dans le service offert.
- Il est essentiel de former régulièrement les membres du personnel pour mieux les sensibiliser aux menaces et encourager la mise en place de pratiques sécuritaires.
- Une communication constante entre la PME et le fournisseur de services ainsi qu’une définition claire des responsabilités sont essentielles.
- La PME doit participer activement à sa propre cybersécurité.
- Il est important de faire des recherches approfondies auprès de divers fournisseurs de services et de demander des références et des recommandations avant de faire son choix.
Améliorer, et non remplacer
La cybersécurité fait office de police d’assurance contre l’impact potentiellement dévastateur d’une faille de sécurité. En développant un partenariat avec un fournisseur de services informatiques capable de déployer des systèmes et de former des équipes de manière à faire preuve de résilience face aux attaques, il est possible de réduire la pression exercée sur les ressources internes et d’optimiser la sécurité.
Cependant, le rapport de La Mobiliére indique clairement qu’utiliser un partenaire fournisseur de services informatiques ne revient pas à externaliser entièrement la cybersécurité. L’entreprise en conserve la responsabilité ultime, et les équipes internes doivent rester conscientes, informées et vigilantes face aux nouvelles menaces et contre-mesures.
Pour discuter avec un consultant Penta au sujet de la façon de protéger votre entreprise, cliquez ici.