Les cyber-attaques : La sécurité de l'information dans les PME a un potentiel d'amélioration

Les grandes entreprises telles que les banques, les compagnies d'assurance ou l'industrie pharmaceutique ne sont pas les seules à être menacées par les cyberattaques d'Internet. Les PME suisses sont également exposées à un nombre croissant de cyberattaques. La Haute école spécialisée de Lucerne a profité de l'occasion pour interroger les petites et moyennes entreprises sur le thème de la sécurité de l'information l'année dernière.

Les deux auteurs Oliver Hirschi et Armand Portmann du département des technologies de l'information ont maintenant publié les résultats de l'étude. L'auteur principal Hirschi résume les résultats comme suit : "Dans de nombreuses PME, il y a un manque de connaissances sur la façon de traiter le sujet de la sécurité de l'information". Et ce, malgré le fait qu'environ 40 % des entreprises interrogées avaient récemment - c'est-à-dire dans les 12 mois précédant l'enquête - été touchées par des cyberattaques telles que des logiciels malveillants ou des courriels de phishing.

L'étude est basée sur une enquête en ligne que les chercheurs ont menée auprès de 230 PME. Il s'agissait d'entreprises de secteurs très divers, tels que les services, le conseil, le commerce et les soins de santé. Près des deux tiers des entreprises permettent à leurs employés de modifier des courriers électroniques professionnels sur des appareils privés. Un peu moins d'un tiers permet l'accès à toutes les applications informatiques. "Cela augmente bien sûr la surface d'attaque", a déclaré M. Hirschi, "tout comme l'utilisation des services en nuage", tels que le stockage de données accessibles de n'importe où et à tout moment. Près de 60 % des entreprises les utilisent sous une forme ou une autre.

On craint de gros dégâts dus à une mauvaise utilisation

Si une entreprise est touchée par des cyberattaques, cela l'amène à s'impliquer davantage dans le domaine de la sécurité de l'information. L'intérêt porte sur la sauvegarde des opérations commerciales. Cela se produit dans un contexte de forte demande de confidentialité : plus des deux tiers des entreprises évaluent comme grand ou très grand le dommage qui résulterait d'une publication inappropriée de leurs données confidentielles.

Les mesures de protection sont donc importantes. "Néanmoins, la grande majorité des entreprises ont déclaré qu'elles n'allouaient pas ou peu de ressources au thème de la sécurité de l'information", déclare Armand Portmann, co-auteur de l'étude. De nombreuses entreprises ont également indiqué qu'elles n'avaient pas formé leur personnel à la gestion des menaces au cours de l'année précédant l'enquête.

En conséquence, la gestion et le contrôle de la sécurité de l'information sont faibles en de nombreux endroits : pas même la moitié des PME vérifient régulièrement l'efficacité de leurs mesures de sécurité. Cela explique également pourquoi les normes ou les lignes directrices en matière de sécurité de l'information sont rarement utilisées. La situation est meilleure lorsqu'il s'agit de mesures techniques. Il s'agit notamment des sauvegardes, des scanners de virus et des pare-feux. Selon l'enquête, la quasi-totalité des entreprises interrogées les utilisent.

Recherché : plus de personnel, plus de formation

Au vu de ces résultats, les deux auteurs de l'étude estiment qu'un rattrapage s'impose, notamment dans les domaines de l'organisation et du personnel : pour améliorer la situation des PME suisses, les entreprises devraient prévoir davantage de ressources pour la sécurité de l'information et mieux préparer leurs employés aux dangers des cyberattaques dans les formations.

Pour consulter l'analyse complète de l'enquête sur la cybersécurité - et la formation dans les PME, voir ici