Première étude Numérisation, télétravail et cybersécurité dans les PME
2020La pandémie de coronavirus a démocratisé le télétravail, y compris dans les PME suisses. Cette évolution présente des opportunités, mais aussi des risques, tels que les cyberattaques aux conséquences désastreuses. Une nouvelle étude dévoile les lacunes auxquelles les entreprises doivent absolument remédier.
En raison de la pandémie de coronavirus, la Suisse a connu en 2020 un engouement pour la numérisation et le télétravail. Par conséquent, les cyberattaques peuvent être encore plus dévastatrices. Pourtant les PME continuent de sous-estimer les risques de ce nouvel univers de travail, comme l’indique une enquête de l’institut gfs réalisée auprès de 503 directeurs et directrices de petites entreprises.
Étude à télécharger
Les cyberattaques et leurs conséquences
Un quart des PME suisses ont déjà été victimes de cyberattaques, soit sous forme de virus (18%), de vol de données (5%) ou d’une surcharge intentionnelle du réseau (5%). Les répercussions graves sont en premier lieu de nature financière. «Ces attaques relèvent d’un professionnalisme grandissant», indique Andreas Hölzli, responsable du centre de compétence Cyber Risk à la Mobilière. «Ce n’est pas seulement vrai pour la façon dont ces attaques sont exécutées, mais aussi pour leur but. Les entreprises sont de plus en plus souvent rançonnées sous forme de versements en bitcoins, des chantages qui sont parfois associés à des menaces de publication de données commerciales confidentielles en échange du déblocage des données ou systèmes.» Selon la situation, cette rançon peut monter jusqu’à 10’000 francs, voire 100’000 francs. Pour une PME, une telle somme peut vite mettre en péril son existence.
Parmi les PME ayant déjà fait l’objet d’une cyberattaque, un tiers a subi des dommages financiers. En extrapolant à l’ensemble de l’effectif, environ 12’930 petites entreprises (intervalle de confiance: 12’600 à 13’250) ont accusé des pertes financières. Une PME sur dix a également vu sa réputation entachée et/ou perdu des données de clients. Pourtant, les mesures préventives restent trop rares. «Bon nombre de PME ont déjà été victimes de cyberattaques. Les directeurs disent être sensibilisés à ce propos, mais restent malgré tout passifs», affirme Andreas Hölzli sur la base des résultats de l’étude.
Extension possible de la protection
Selon l’étude, 88% des participants n’ont pris aucune mesure de sécurité supplémentaire contre les cyberattaques après le confinement. Et l’expert de la Mobilière Andreas Hölzli d’ajouter: «Deux points seraient importants pour les entreprises: elles devraient disposer d’un plan d’urgence pour ce type de situation et elles devraient instruire et former les collaborateurs.» Malheureusement, seule une poignée d’entreprises organisent ce genre de formation continue. Deux tiers des PME ne proposent pas de formations régulières aux collaborateurs à propos de la cybersécurité et ne disposent pas non plus d’un concept de sécurité. Seuls 17% souscrivent une assurance de cyberprotection. Pourquoi? 39% pensent que «ce n’est pas nécessaire», 16% ne savent même pas que «cela existe».
Et le confinement n’y a pas changé grand-chose. Pendant cette période, à peine 11% des entreprises ont créé un plan d’urgence dans le but de garantir la poursuite de l’activité, mais seulement 5% ont conclu une assurance de cyberprotection. «L’assurance de cyberprotection gagne en importance. Plus le nombre d’appareils utilisés pour le travail augmente, plus les risques auxquels ils sont exposés sont grands. En bref: le risque d’être attaqué augmente avec la numérisation de l’activité.»
Point faible: les collaborateurs
Il n’est pas simplement question de scanner antivirus, de pare-feu et autres types de protection. Le plus grand facteur de risque est et reste l’humain. Les collaborateurs en télétravail peuvent ouvrir des e-mails d’hameçonnage, télécharger des pièces jointes ou manquer des mises à jour de sécurité. Une erreur de clic suffit parfois pour ouvrir la porte virtuelle aux hackeurs. «Durant la crise du coronavirus, nous observons une hausse des e-mails d’hameçonnage. Cette tendance n’est pas directement liée au télétravail et à la situation de travail. On recense, par exemple, davantage d’e-mails frauduleux de services de livraison parce que les gens se font davantage livrer la marchandise.» Puisque les collaborateurs travaillent souvent sur leur ordinateur privé en télétravail, une simple erreur de clic dans un e-mail privé peut provoquer des dégâts pour la PME.
«L’hameçonnage constitue le plus grand risque», confirme Andreas Hölzli. Cela requiert aussi qu’une personne commette une erreur de clic. Et Andreas Hölzli d’ajouter: «Comme dit, la numérisation augmente le risque d’une attaque en ligne. Elle augmente aussi la probabilité que l’activité des systèmes ne soit pas simplement interrompue pendant une longue pause café de deux heures, mais plutôt pendant plusieurs jours. Les dommages financiers, assortis de pertes de chiffre d’affaires et de surcoûts, peuvent vite devenir insurmontables. Outre les dégâts monétaires que cela implique, remettre le système informatique d’aplomb demande aussi beaucoup de temps et d’énergie.»