Cybersécurité : en France et en Suisse, les PME restent fragiles
![Image Que faire en cas d’attaque par [rançongiciel ?]](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
![Image Europol, la CISA et le FBI alertent sur le gang de [rançongiciel Akira]](https://incyber.org//wp-content/uploads/2023/12/incyber-news-water-cybersecurite-cybersecurity-885x690.jpg)
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
Bien qu’elles représentent l’essentiel du tissu économique en France et en Suisse, les PME sont très exposées aux cybermenaces. Un double risque à la fois pour l’économie et l’emploi national mais aussi pour la pérennité de leurs clients ou fournisseurs.
Ce sont deux chiffres édifiants : en Suisse, les PME représentent 99% du tissu économique du pays, selon l’Office fédéral de la statistique suisse. En France ce chiffre s’élève à 96%, selon l’Insee, avec environ 40% des effectifs et de la valeur ajoutée. A quoi il faut ajouter les entreprises de taille intermédiaire (ETI).
Les investisseurs sont attentifs à la maturité cyber d’un pays, que ce soit pour la qualité des infrastructures mais aussi la qualité de l’administration et des prestataires de services. Ces derniers sont, en effet, en première ligne pour assister les PME. Il existe un décalage entre la réalité (les PME sont victimes d’attaques, comme les grandes entreprises) et la perception : près de 7 PME sur 10 pensent qu’elles n’intéressent pas les pirates informatiques, selon l’étude réalisée par l’IFOP pour Stoïk.
Les PME rencontrent des difficultés à protéger leurs données et système d’information pour plusieurs raisons : les dirigeants sont concentrés sur leur business et pensent que cette charge revient à un prestataire informatique, enfin parce qu’elles n’ont pas la taille critique pour avoir des ressources informatiques et de sécurité en interne. Les prestataires de services informatiques – souvent des PME aussi -, sont donc un pilier important du dispositif. Les dirigeants de PME (et de plus grandes entreprises), se reposent trop souvent sur ces prestataires, qui, bien souvent, disposent d’un cahier des charges peu clair.
Par ailleurs, un bon prestataire informatique ne suffit pas pour sécuriser les données et les systèmes. En effet, il faut clarifier les rôles, distinguer les tâches et les données à garder en interne, définir les procédures, les usages, préparer la gestion de crise et le plan de continuité, former l’ensemble des collaborateurs et les dirigeants qui doivent définir les priorités.
La question de la responsabilité
Que les opérations informatiques soient réalisées en interne et en externe, la responsabilité reste dans les mains des dirigeants. Dans le cas de l’externalisation, le contrat doit spécifier la responsabilité du prestataire et ses obligations. Les prestataires informatiques eux-mêmes ne sont pas toujours compétents en sécurité informatique. Ils doivent se former et s’informer en permanence sur l’état de la menace et les évolutions technologiques.
Le résultat des enquêtes reflète partiellement la réalité. Néanmoins elles montrent une tendance : la prise de conscience des cyber-risques et la maturité, croissante, dans le domaine de la cybersécurité. Le problème, c’est que la menace augmente plus vite que la maturité. Conséquence : de plus en plus de PME sont victimes de cyberattaques en raison de l’obsolescence matérielle ou logicielle, des défaillances de prestataires, d’un manque de formation des collaborateurs, d’une architecture informatique qui n’est pas adaptée ou un manque de process.
De nombreuses PME ont commencé leur transformation numérique. Elles y sont encouragées, voire forcées, par leurs clients, leurs banques, leurs partenaires, leurs salariés et les administrations.
Prise de conscience
On peut lire dans l’étude menée en 2023 par l’APAVE, que « la prise de conscience des TPE- PME sur les enjeux de la cybersécurité est réelle. Cependant, elles ne sentent pas encore suffisamment accompagnées sur le sujet. 93% des TPE et PME n’ont pas de budget dédié à la cybersécurité. 25% ont une couverture assurance ». Ces deux chiffres sont assez contradictoires et signifieraient que les assurances acceptent de couvrir des entreprises qui dépourvus de dispositif de cybersécurité.
On lit dans une étude sur les PME, conduite par SwissExport, que la cybersécurité se trouve en deuxième position des incertitudes les préoccupant : « L’évolution des prix, la cybersécurité́ et la sécurité́ des données, les évolutions géopolitiques ainsi que la maitrise des tendances technologiques sont les risques qui influencent le plus la situation économique des PME suisses. »
« 84% des PME suisses accordent une grande importance à ce défi, la maîtrise des tendances technologiques y étant aussi étroitement liée (74%). Les PME comme les grands groupes ont bien du mal à suivre le rythme et doivent identifier les opportunités et risques qui en découlent pour leur propre activité́ », lit-on aussi dans cette étude. « Une PME suisse sur trois a déjà été victime d’une cyberattaque et le risque ne cesse d’augmenter », selon le Centre national pour la cybersécurité suisse (NCSC).
Selon une étude menée par Delinea, 61% des décideurs en cybersécurité pensent que les dirigeants de leur entreprise ne comprennent pas réellement le rôle de la cybersécurité dans la réussite de l’entreprise.
La question principale pour les PME est d’abord de définir les priorités (que faut-il protéger ?) puis une question budgétaire, enfin une question de compétences. Elles restent en effet très attentives aux coûts et investiront dans des outils ou des ressources humaines si elles sont sûres que ces ressources sont nécessaires.