La dernière étude sur le télétravail et la cybersécurité dans les PME suisses montre qu’en 2021 et 2022, celles-ci n’ont guère développé leurs mesures de cyberprotection – cela bien que les cyberattaques aient à nouveau augmenté depuis le début de la guerre en Ukraine et fassent régulièrement la une des médias. Comment l’expliquez-vous? 
Les raisons pour lesquelles les PME n’investissent pas dans leur cybersécurité peuvent être très diverses: autres priorités relevant de leur cœur de métier, contexte économique difficile, manque de spécialistes, etc. De plus, beaucoup ne savent peut-être pas par où commencer, ne disposent pas des ressources nécessaires ou se croient faussement en sécurité, pensant que leur prestataire informatique saura quoi faire en cas d’attaque.  

L’étude montre pourtant aussi que les responsables de PME considèrent les mesures de cybersécurité comme importantes.
C’est exact. Deux tiers des PME jugent la question importante, sans pour autant agir en conséquence. L’étude confirme donc le décalage existant entre avoir conscience du risque et agir pour le contrer. Cela s’explique notamment par le fait que les cyberrisques ne sont pas visibles à l’œil nu, si bien qu’ils sont plus facilement ignorés que d’autres risques, plus concrets. Le risque est pourtant plus grand de subir une cyberattaque qu’un dégât d’eau au bureau. En outre, il n’existe pas de standards minimaux ni de contrôles réguliers obligatoires visant à garantir la sécurité des systèmes informatiques, comme c’est le cas par exemple pour celle des automobiles. Je souhaite donc que la cybersécurité gagne en hauteur sur l’échelle des priorités des responsables d’entreprise. 

Il ressort de l’étude que plus les responsables se sentent informés en matière de cybersécurité, plus les mesures mises en œuvre sont nombreuses. Que fait la Mobilière pour davantage sensibiliser sa clientèle PME à la cyberprotection? 
Nous soutenons l’acquisition de connaissances dans ce domaine, en présentant les risques potentiels de manière à les rendre plus tangibles. Nous le faisons par exemple lors de conférences spécialisées et en publiant des guides, tout en examinant et développant également d’autres formats innovants. Nous proposons en outre des services de prévention des cyberattaques. En font partie notre évaluation rapide des cyberrisques (gratuite) ainsi que notre formation de sensibilisation du personnel (payante). Notre cyberassurance protège en outre les entreprises contre les conséquences financières des cyberattaques. Elle couvre également la mise à disposition de l’expertise de nos partenaires spécialisés en gestion de crise, la restauration des données et des systèmes, etc., afin que l’exploitation puisse reprendre le plus rapidement possible.

Les deux mesures les plus fréquemment appliquées par les PME sont la «mise à jour régulière des logiciels» et le «recours à un pare-feu». Suffisent-elles à garantir une protection efficace contre les cyberattaques?
Ce sont de bonnes mesures, mais qui restent des demi-mesures. Il est tout aussi important de sensibiliser le personnel à la gestion des risques dans le monde numérique, de fixer des règles pour les mots de passe, de sauvegarder les données régulièrement, d’élaborer un plan d’urgence et de procéder à des simulations de cyberattaques. Un bon concept de sécurité informatique doit inclure des mesures aussi bien techniques qu’organisationnelles. Environ 80% des PME font appel à un prestataire informatique pour ces questions. La répartition des responsabilités et des tâches entre la PME et le prestataire doit alors être clairement définie dans un contrat réglant leur collaboration en détail (aspects techniques, organisationnels et juridiques ainsi que processus). Même en cas d’externalisation de la sécurité informatique, la responsabilité en incombe toujours à la cheffe ou au chef de la PME. 

Comment trouver un bon prestataire informatique, qui soit également compétent en matière de cyberprotection? 
On peut commencer par vérifier s’il est certifié selon la norme ISO 27001 (Systèmes de management de la sécurité de l’information). Le label de qualité CyberSeal de l’Alliance Sécurité Digitale Suisse est également garant d’un bon niveau de compétences. Il distingue les prestataires qui possèdent le savoir-faire nécessaire en matière de mesures techniques et organisationnelles de cyberprotection et sont à même d’assister leur clientèle de manière professionnelle. 

Comment les cyberdommages ont-ils évolué ces dernières années? 
Les dommages d’aujourd’hui ne sont pas les mêmes que ceux d’hier et ceux de demain seront encore différents. Les e-mails frauduleux, par exemple, ne sont désormais plus repérables au premier coup d’œil. Ce que nous observons le plus souvent en ce moment, ce sont des collaboratrices et collaborateurs qui se font piéger par des tentatives d’hameçonnage et autres escroqueries et permettent ainsi aux pirates d’installer des logiciels malveillants. De nombreux cyberdommages découlent également de défauts techniques, tels que des erreurs de configuration ou des failles logicielles, que les pirates ne manquent pas d’exploiter.

Comment les stratégies des cybercriminels évoluent-elles? 
Elles sont toujours plus sophistiquées et leurs auteurs toujours plus patients et professionnels. Les pirates exploitent l’intelligence artificielle et la situation politique mondiale incertaine à leur profit. Ils agissent discrètement, font leur nid dans les réseaux et ne cryptent ou ne volent des informations qu’après un certain temps. On ne sait alors pas exactement quelles données ont été volées ou modifiées. Les vols de données sont de plus en plus graves et complexes et le cercle des entreprises exposées à ces vols et aux tentatives d’extorsion qui s’ensuivent s’élargit. Même les prestataires cloud ne sont pas à l’abri de cyberattaques. En outre, il arrive souvent que les données ne soient pas «seulement» cryptées, mais également rendues publiques. Enfin, les tentatives d’extorsion visent non seulement l’entreprise piratée, mais aussi les personnes dont les données ont été volées: clientèle, personnel, partenaires commerciaux, etc. À noter que la nouvelle loi sur la protection des données en vigueur depuis le 1er septembre 2023 oblige à annoncer les cyberattaques au Préposé fédéral à la protection des données si elles concernent des données personnelles sensibles. 

Les PME qui souscrivent une cyberassurance doivent-elles tout de même appliquer des mesures de cyberprotection? 
Oui, absolument! Une telle assurance n’empêche pas les cyberattaques, elle ne fait qu’aider à en couvrir les conséquences financières. Elle exige même que la cliente ou le client applique certaines mesures de sécurité, telles que sauvegarder régulièrement ses données, tenir ses logiciels à jour et utiliser un antivirus.

Quelle voie la Mobilière entend-elle suivre à l’avenir en matière de cyberprotection? Quelles offres et services supplémentaires prévoit-elle?
De même que les pirates informatiques développent leurs stratégies, nous développons notre soutien à la clientèle. Nous prévoyons donc d’étendre notre offre de cyberservices. Nous testons actuellement un concept original de formation continue pour PME, qui nous permettra de leur présenter les cyberrisques de manière vivante et ludique. Nous renforcerons ainsi leur capacité à les déjouer.