Eine Frau in einem Büro schaut auf den Bildschirm.

Organisation: les visages multiples de la cyberprotection

Alors que les PME ont amélioré les mesures prises contre les cyberattaques, les mesures liées aux processus et à l’organisation ont tendance à passer aux oubliettes. Andreas Hölzli, responsable du centre de compétences Cyberrisques à la Mobilière, explique de quoi il retourne.

Avec le télétravail qui a pris de l’ampleur, c’est une tendance qui se généralise: les PME suisses sont de plus en plus nombreuses à mettre en place des mesures techniques pour se protéger des cyberattaques, comme les logiciels de sécurité, les pare-feu, l’amélioration des mots de passe, les sauvegardes de données, etc. Mais est-ce suffisant?

Failles dans la cyberprotection

«Il y a encore beaucoup de potentiel d’amélioration au niveau de l’organisation», relève Andreas Hölzli, responsable du centre de compétences Cyberrisques à la Mobilière. La planification et la mise en œuvre des mesures de cyberprotection font défaut justement là où les cybercriminels sévissent le plus souvent: auprès des collaborateurs. Comme le montre l’étude «Télétravail et cybersécurité dans les PME suisses», à peine la moitié des PME suisses disposent en effet d’un concept de sécurité informatique (47% pleinement/pleinement et entièrement) et seuls deux cinquièmes forment régulièrement leurs collaborateurs (39%) ou mènent des audits de sécurité informatique (37%).

Mesures organisationnelles pour renforcer la cybersécurité

Grafique

Mesures techniques pour renforcer la cybersécurité

Grafique

Un risque dynamique et multidimensionnel

La cyberprotection ne relève-t-elle pas essentiellement de la technologie? «Non», répond Andreas Hölzli. «Les mesures d’ordre technique sont très importantes, mais elles ne constituent qu’une partie du concept. Il faut aussi mettre en place des mesures organisationnelles et sécuriser les processus.» Il est par ailleurs souvent confronté à un deuxième malentendu: «Bon nombre de personnes pensent qu’il suffit de prendre des mesures de protection une seule fois pour être à l’abri. Or la cybersécurité en entreprise est un travail de tous les jours, sachant que les cyberrisques sont dynamiques, en constante évolution.»

Humains, processus, technique

Andreas Hölzli donne quelques exemples de la manière dont les cyberrisques peuvent évoluer: de nouvelles failles sont découvertes dans un logiciel et les cyberpirates les exploitent; ou alors les processus ne sont pas clairement définis et d’anciens collaborateurs ont toujours accès aux systèmes internes à l’entreprise. Sans oublier le facteur humain: avec le stress du quotidien professionnel, les collaborateurs peuvent facilement oublier de bien vérifier l’expéditeur d’un e-mail et se laissent prendre au piège d’un e-mail d’hameçonnage («hameçonnage» dans le glossaire).

Mise à niveau des collaborateurs

Quelles sont les mesures les plus appropriées pour réduire les cyberrisques qui ne dépendent pas de la technique? «Le plus important, c’est d’effectuer un travail de sensibilisation régulier auprès des collaborateurs», déclare Andreas Hölzli. «La négligence ou l’ignorance suffisent pour qu’une personne saisisse ses données au mauvais endroit et que la catastrophe survienne.» Une PME peut elle-même aborder la thématique en interne ou faire appel à des prestataires externes, comme la Mobilière, qui organisent ce type de formation en y intégrant des simulations d’hameçonnage.

Une bonne préparation

Une autre mesure importante liée à la cyberprotection consiste à dresser un inventaire complet de l’infrastructure informatique. «Souvent, les entreprises ignorent complètement quel matériel informatique elles possèdent et si la maintenance de l’infrastructure se fait correctement», explique Andreas Hölzli. «La RedBox, un service proposé par la Mobilière, permet notamment de garder une bonne vue d’ensemble de l’infrastructure informatique.» Il faut aussi bien clarifier les compétences et les processus, notamment pour faire face à une éventuelle cyberattaque. «Si la cyberattaque est déjà en cours et que les systèmes sont bloqués, il est en effet déjà trop tard pour développer un concept d’urgence. Ce dernier doit être défini à l’avance afin de savoir comment procéder en situation de crise.»

Trouver un soutien externe

Malgré toutes les précautions qui peuvent être prises, on ne peut jamais exclure le risque de cyberattaques, d’autant plus que les cyberrisques ne cessent d’évoluer. L’entreprise peut alors faire appel à son prestataire informatique, sans oublier la cyberassurance: «Une cyberassurance apporte un soutien en cas de problème et couvre les frais induits pour permettre la reprise des activités au plus vite», rappelle Andreas Hölzli. Cela permet de limiter les dégâts, du moins sur le plan financier.

Glossaire

Hameçonnage, vishing, darknet, etc.: les termes spécialisés ne manquent pas dans le domaine de la cybersécurité. Vous trouverez ici un recueil des principaux termes expliqués de manière simple.