Alors que plus d’une PME sur trois a déjà été victime d’une cyberattaque en Suisse, le phénomène reste encore fortement sous-estimé. Seulement 56% des PME suisses jugent la cybersécurité importante, selon une étude réalisée par gfs-zürich en novembre 2021. «La Suisse est très en retard en matière de réglementation de la cybersécurité, déplore Dominique Vidal, fondateur et directeur de SecuLabs, entreprise de sécurité informatique basée à l’EPFL Innovation Park et à Montricher (VD). Une entreprise n’a pour le moment aucune obligation en matière de protection des données de ses clients, sauf si elle travaille avec des pays membres de l’Union européenne et doit alors respecter le Règlement général sur la protection des données (RGPD) mis en place en 2018.»

Contenu Sponsorisé
 
 
 
 
 
 

La situation va néanmoins changer le 1er septembre 2023 avec l’entrée en vigueur de la nouvelle loi sur la protection des données (LPD). Celle-ci impliquera les mêmes exigences que son équivalent européen, soit notamment une extension des données sensibles, une transparence accrue et la tenue d’un registre des activités de traitement. «Acter ces obligations dans la loi reste la seule manière de pousser les entreprises à opérer les changements nécessaires, souligne le chef d’entreprise qui regrette néanmoins la perte de liberté des PME. La mise à niveau va demander des investissements. Or, pour certaines entreprises, le développement de leur activité peut parfois prévaloir. Je trouve dommageable que les entrepreneurs ne puissent plus choisir selon leurs priorités.»

SecuLabs compte 28 collaborateurs et travaille pour plus de 200 entreprises de Suisse romande. Créée en 2012, elle enregistre environ 30% de croissance par année. «Les besoins en cybersécurité dépendent du niveau de maturité d’une entreprise. A partir de quatre employés, les informations doivent être partagées, ce qui expose à des vulnérabilités.» Alors que faire? Voici quelques conseils de la société:

Sécuriser la messagerie

«Le télétravail a permis une plus grande flexibilité des emplois, mais la sécurité informatique n’a pas toujours été adaptée.» Que ce soit pour le serveur partagé ou pour les adresses e-mail, chaque collaborateur devrait procéder à une double authentification. «C’est essentiel puisque les connexions externes – parfois effectuées depuis des serveurs publics et non sécurisés comme des wifis d’aéroport ou de café – représentent des failles béantes, qui peuvent ouvrir l’accès à l’intégralité des données d’une entreprise.»

«Dans un premier temps vient la question des e-mails. Les PME devraient faire confiance à une entreprise spécialisée pour sécuriser leurs échanges: en transférant la responsabilité, ils s’assurent qu’une équipe qualifiée s’occupe du maintien et de la protection de leur messagerie. La renommée de l’entreprise est un bon moyen de faire son choix.»

Mener un audit de sécurité

«Nous regardons alors les processus en place afin d’identifier les potentielles brèches et proposer des solutions applicables immédiatement.» L’alliance de sécurité numérique suisse a également mis au point un test en ligne à destination des PME afin qu’elles puissent évaluer leur niveau de protection. Enfin, les PME peuvent demander un test d’intrusion. «Nos équipes utilisent alors les mêmes méthodes que les hackeurs pour identifier toutes les failles et les corriger.»

Faire de multiples sauvegardes

«Il existe quatre types de hackeurs: les «hacktivistes» comme Anonymous, qui volent des données avec un objectif politique, le crime organisé, certains Etats, et la menace interne. Ce dernier profil – trop souvent négligé – correspond à un ancien ou actuel collaborateur qui souhaite se venger de son employeur.»

Une des méthodes de cyberattaque les plus courantes actuellement est le ransomware. Les pirates accèdent aux données d’une entreprise et les cryptent. La PME n’arrive alors plus à se connecter et doit payer pour récupérer ses données. En cas de non-paiement, les informations sont rendues publiques. «La rançon équivaut généralement à 1% du chiffre d’affaires de l’entreprise, précise l’expert. Les piratages sont rapides puisque les voleurs se concentrent en priorité sur les backup, qui regroupent généralement les données sensibles. Les entreprises devraient donc toujours avoir une sauvegarde supplémentaire déconnectée du réseau.»

Sensibiliser les collaborateurs

Les défenses actuelles (antivirus, pare-feu) empêchent l’installation directe de logiciels de cyberattaque. Les hackeurs doivent donc trouver une porte d’entrée, idéalement depuis l’intérieur de l’entreprise. La méthode classique est l’e-mail piégé, ouvert par mégarde par un employé. Il est donc primordial de sensibiliser et de former les équipes aux bonnes pratiques. A cette fin, SecuLabs mène régulièrement des campagnes de phishing pour ses clients. «Environ 10% des destinataires ouvrent la pièce jointe ou saisissent leur nom d’utilisateur et leur mot de passe. En moins de deux minutes, les pirates peuvent ainsi obtenir un accès à l’intérieur de l’entreprise.»

Pour l’expert, l’idéal reste de se faire accompagner pour que les enjeux soient bien expliqués et compris, mais «si l’entreprise a peu de budget à allouer à la sécurité informatique, elle peut trouver une solution en interne. Chaque entreprise a un collaborateur plus à l’aise avec l’informatique que les autres qui peut vulgariser et expliquer à ses collègues les bonnes pratiques.»