La sécurité de l'information est un problème pour les PME
Les PME suisses sont également concernées par la cybercriminalité. Pourtant, le sujet n'attire que lentement l'attention des entreprises, comme le montre une étude de la Haute école de Lucerne.
Les cyber-attaques sont en augmentation. C'est pourquoi le département Informatique de la Haute école de Lucerne (HSLU) a mis en place une Sondage auprès des PME sur le thème de la sécurité de l'information. L'auteur principal, Hirschi, résume les résultats comme suit : "Dans de nombreuses PME, il y a un manque de connaissances sur la manière d'aborder le thème de la sécurité de l'information". Et ce, bien qu'environ 40% des entreprises interrogées aient indiqué avoir été touchées par des cyberattaques (logiciels malveillants, e-mails de phishing) au cours des douze mois précédant l'enquête (année 2016).
Selon un sondage, près de deux tiers des entreprises autorisent leurs collaborateurs à traiter leurs e-mails professionnels sur des appareils privés (cf. BYOD). Un peu moins d'un tiers permet d'accéder à toutes les applications informatiques. "Cela augmente bien sûr la surface d'attaque", explique Hirschi, "tout comme l'utilisation de services en nuage, c'est-à-dire par exemple stocker des données auxquelles on peut accéder à tout moment et de partout". Près de 60% des entreprises utiliseraient des services cloud sous une forme ou une autre.
Dommages importants à craindre
Selon l'institut, les entreprises victimes de cyberattaques se préoccupent davantage de la sécurité de l'information. La garantie de l'activité commerciale est au centre de l'intérêt. Plus des deux tiers des entreprises interrogées estiment que les dommages causés par la publication abusive de leurs données confidentielles sont importants ou très importants.
Les mesures de protection sont donc importantes. "Malgré cela, la grande majorité des entreprises ont indiqué qu'elles ne consacraient pas de ressources ou seulement des ressources minimales au thème de la sécurité de l'information", explique Armand Portmann, co-auteur de l'étude. De plus, de nombreuses entreprises n'auraient pas formé leur personnel à la gestion des risques au cours de l'année précédant l'enquête. En conséquence, le pilotage et le contrôle de la sécurité de l'information sont souvent peu développés : moins de la moitié des PME vérifient régulièrement l'efficacité de leurs mesures de sécurité. Cela explique aussi pourquoi les normes ou les guides pour la sécurité de l'information sont plutôt rarement utilisés. La situation est meilleure en ce qui concerne les mesures techniques telles que les sauvegardes, les antivirus et les pare-feu. Selon l'enquête, presque toutes les entreprises interrogées y ont recours.
Wanted : plus de personnel, plus de formations
Au vu de ces résultats, les deux auteurs de l'étude estiment que c'est justement dans le domaine de l'organisation et du personnel qu'il faut rattraper le retard : pour améliorer la situation dans les PME suisses, les entreprises devraient consacrer plus de ressources à la sécurité de l'information et mieux préparer leurs collaborateurs aux dangers des cyberattaques en leur proposant des formations. Source : HSLU
L'étude se base sur une enquête en ligne que les chercheurs ont menée auprès de 230 PME de divers secteurs.
- Conseils de sécurité sur la plate-forme "eBanking - en toute sécurité www.ebas.ch
- Cours spécialisé sur la sécurité de l'information et la cybersécurité dans les petites entreprises et autres Formations continues sur la sécurité de l'information : www.hslu.ch/information-security-privacy
