Éditorial (1/2018)

Les petites et moyennes entreprises ne sont pas suffisamment protégées contre le piratage informatique. C’est ce qui ressort de la journée sur la cybersécurité qui s’est tenue à l’EPFL le 19 décembre dernier, ainsi que d’une étude de l’institut Gfs menée auprès de 300 patrons de PME de toute la Suisse. Selon cette enquête, plus d’un tiers d’entre elles sont exposées à des cyberattaques. Près de 210’000 entreprises ont été confrontées à des logiciels malveillants, tels que des virus ou des chevaux de Troie. Quelque 23’000 auraient été exposées à des chantages et plus de 10’000 à un vol de données.

Malgré ces chiffres, le cyberpiratage n’inquiète pas de nombreux patrons, qui considèrent comme faibles les risques d’être ciblé, sous-estimant ainsi gravement le danger d’une attaque en ligne. Il ressort du sondage que plus de la moitié des chefs d’entreprises estiment que leur société est suffisamment protégée contre ce type de risques.

Or, ce n’est pas le cas. Selon les mandataires de l’étude, les mesures de protection sont très souvent insuffisantes. Ainsi, seuls 60 % des sondés déclarent être équipés de protections, comme des «anti-malware» ou des pare-feu. Trente pour cent n’ont prévu, pour leurs employés, aucune formation sur la sécurité informatique, alors que paradoxalement, 62 % d’entre eux considèrent comme très important que leur système informatique ne soit pas interrompu.

Alors pourquoi une telle «naïveté», comme l’a déploré le conseiller fédéral Guy Parmelin lors de son allocution à la journée de l’EPFL ? Selon le principe «un n’accident n’arrive qu’aux autres», seuls 4 % des patrons considèrent ce risque comme très important. Et nombre d’entre eux estiment que la taille de leur entreprise représente une proie peu attrayante pour les cybercriminels. Ce qui est totalement faux, car un employé mal formé qui ouvre un pourriel met son entreprise en danger, quelle que soit sa taille.

Alors comment se protéger ? Des solutions existent. Elles consistent tout d’abord à sensibiliser le personnel, puis à installer un système d’alerte. La Suisse a mis sur pied, en 2012, une stratégie nationale en matière de cybersécurité; elle est en train de la réviser. Comme annoncé le 19 décembre, l’EPFL est en train de créer un pôle de cybersécurité, en s’associant à plusieurs grandes entreprises; elle ouvre également deux nouvelles chaires d’enseignement et de recherche. Parmi les projets en cours, la Commission fédérale d’experts pour l’avenir du traitement et de la sécurité des données, travaille à l’élaboration d’un cadre de bonnes pratiques en matière de cybersécurité, destiné aux PME.

Mais c’est à elles de prendre leurs responsabilités, en matière d’assurances et de conseils auprès de spécialistes, par exemple. Selon le préposé fédéral à la protection des données, 70 % des entreprises ayant subi une grave cyberattaque ont disparu dans les six mois qui ont suivi.