ICTjournal février 2018

  • Suisse
  • Blockchain
  • Netzmedien
  • Notamment
  • Solutions
  • Groupe
  • Entreprises
  • Suisses
  • Directeur
  • Projets

Image: Ragnarocks /

Image: Ragnarocks / fotolia.com 24 Les PME suisses ne craignent pas les incidents sécuritaires – jusqu’à ce qu’elles en soient victimes Deux tiers des PME suisses ne craignent pas de voir leur activité interrompue par un incident sécuritaire. La donne change pourtant dès lors qu’elles ont déjà subi une attaque. Les entreprises se montrent par ailleurs frileuses en matière de standards et autres certifications. Rodolphe Koller Selon une étude réalisée par l’institut GFS pour ICTswitzerland et d’autres organismes, les PME suisses se montrent relativement sereines quant aux risques de sécurité informatique. L’enquête conduite auprès de 300 petites et moyennes entreprises, montre qu’une informatique fonctionnelle joue un rôle majeur pour une majorité des PME, y compris les plus petites. Dans la moitié des sociétés, c’est le patron de l’entreprise qui s’occupe luimême de la sécurité informatique. Les PME, dont la plupart détiennent des données personnelles de leur clientèle, s’estiment pour la plupart bien protégées et bien COMMENT ÉVALUEZ-VOUS LE RISQUE QUE VOTRE PME SOIT VICTIME D’UNE CYBERATTAQUE DANS LES 2-3 ANS QUI INTERROMPRAIT VOTRE ACTIVITÉ PENDANT AU MOINS UN JOUR? (EN %) risque faible neutre risque élevé informées en matière de sécurité IT. Si un tiers d’entre elles a déjà été victime de virus et autres logiciels malveillants, seules 4% ont été victimes d’extorsions (rançongiciels), 3% de DoS et 2% de vols de données – cela représente tout de même plusieurs milliers de PME suisses touchées par des incidents importants. Chat échaudé… Malgré leur dépendance envers l’IT, deux tiers des PME sondées estiment que le risque est faible de voir leur activité interrompue durant une journée en raison d’une attaque informatique. Seul 14% d’entre elles jugent qu’une attaque irait jusqu’à mettre leur existence en danger. La situation est toutefois sensiblement différente si l’on s’intéresse aux PME qui ont déjà été victimes d’incidents graves. Ces dernières jugent les risques plus élevés et 20% d’entre elles se sentent très mal protégées. Elles sont aussi plus nombreuses à envisager des améliorations de leur sécurité IT ces prochaines années. entreprise n’ayant jamais subid’incident majeur* 71 21 8 Protections minimales Sur la totalité des PME sondées, la moitié ne prévoit pas d’améliorer sa protection contre des cyberattaques. Seul entreprise ayant déjà subi unincident majeur* 44 26 30 60% des organisations disposent d’une protection basique complète (protection contre les malware, pare-feu, gestion des patchs, et backup). En d’autres termes, 40% Source: Cyberrisiken in Schweizer KMUs, gfs-zürich, décembre 2017 des PME n’ont pas adopté ces mesures minimales. Les protections plus avancées (identification d’incidents, Février 2018 www.ictjournal.ch © netzmedien ag

cybersécurité 25 QUELLES MESURES DE SÉCURITÉ SONT DÉJÀ DÉPLOYÉES DANS VOTRE ENTREPRISE? (EN %) entièrement déployé pas du tout déployé ne sait pas mesures de protection basiques (contre les malware,pare-feu, patch management,backup) 60 19 10 7 2 2 systèmes de détection d’incidents 20 18 23 11 24 4 procédures pour traiter lesincidents 18 16 20 19 20 7 formation des collaborateurs pourun usage sûr de l’IT et lareconnaissance de spams 15 21 15 14 29 6 OPINION À L’ÉGARD DE L’OBLIGATION D’ANNONCER DES INCIDENTS SÉCURITAIRES (EN %) tout à fait d’accord pas du tout d’accord ne sait pas L’obligation d’annoncer fait office de système d’alerte et augmenteainsi la sécurité de tous 34 26 20 11 3 6 L’obligation d’annoncer conduit à une compréhension plus complètede la menace et contribue ainsi à la lutte contre les cyberattaques 27 29 24 10 7 3 Par crainte de dommage à leurréputation, les entreprises nevoudront plus annoncer lesattaques 20 32 15 9 20 4 Une obligation de communiquerest une autre charge inutile pourles PME 25 17 15 19 22 2 Source: Cyberrisiken in Schweizer KMUs, gfs-zürich, décembre 2017 procédure en cas d’incident, formation des collaborateurs notamment pour reconnaître des spam) n’ont été mises en œuvre que dans 15 à 20% des sociétés. Peu d’intérêt pour des standards de sécurité Seul un tiers des PME applique des standards en matière de sécurité IT, en général des prescriptions sectorielles ou internes. Seul 30% des sociétés s’intéresseraient à un catalogue de mesures sécuritaires, et seul 29% se disent en faveur de standards minimaux pour les entreprises suisses. La majorité n’aimerait pas non plus assister à l’introduction d’une certification nationale concernant la protection des données personnelles. GFS a également interrogé les PME au sujet de l’obligation d’annoncer les incidents sécuritaires dont elles sont victimes. Les avis sont contrastés: 60% des petites entreprises estiment qu’une telle obligation servirait de système d’alarme et améliorerait la sécurité de tous, mais 42% trouvent aussi qu’il s’agirait d’une nouvelle charge inutile pesant sur les PME. www.ictjournal.ch © netzmedien ag Février 2018