"Les PME sont toujours plus visées par les cybercriminels"

Les petites et moyennes entreprises constituent une cible facile pour les cyberattaques car elles n’accordent souvent pas assez d’attention à la sécurité des données et de l’information. Oliver Hirschi, professeur à l’Institut d’informatique de gestion de la Haute École de Lucerne, détaille les mesures à prendre dans le domaine.

La gestion des données numériques et leur protection devraient faire partie intégrante de la gouvernance d’entreprise de toutes les PME. Or, malgré la digitalisation croissante de tous les domaines d’activités, de nombreuses entreprises sous-estiment encore la sécurité des données et de l’information, affirme Oliver Hirschi, professeur à l’Institut d’informatique de gestion de la Haute École de Lucerne. Pour analyser la façon dont les petites et moyennes entreprises abordent la question, Oliver Hirschi et son équipe lancent un grand sondage dans tout le pays (cf. lien à la fin de cet article).

À quoi les PME doivent-elles faire attention en matière de gestion des données et des systèmes informatiques?

Oliver Hirschi: L’activité commerciale est bien souvent tributaire de données et d’informations numériques traitées à l’aide de systèmes informatiques. Celles-ci doivent être protégées afin de garantir leur confidentialité, leur exhaustivité et leur disponibilité. En outre, il convient de se conformer aux dispositions réglementaires, telles que la loi sur la protection des données. Tout cela relève de la sécurité de l’information. Il est essentiel de se pencher sur ce problème et de prendre les mesures qui s’imposent.

Quelles sont les erreurs commises par les PME et quels sont les risques qui en découlent?

Hirschi: Bien souvent, les PME – aussi bien la direction que les collaborateurs – n’ont pas conscience des dangers liés aux systèmes informatiques. On entend souvent dire: "Qu’apporte la sécurité de l’information, à part des coûts supplémentaires?" ou "Il ne nous est encore rien arrivé!". Résultat: certaines mesures élémentaires de sécurité sont négligées. Les attaques de "ransomware" survenues récemment ont prouvé que de tels manquements pouvaient avoir des conséquences dramatiques. Lors de ces attaques, les données de particuliers ou d’entreprises sont prises en otage et chiffrées afin de bloquer l’accès à leur propriétaire. Ce dernier doit alors payer une rançon pour pouvoir de nouveau y accéder.

Quels sont les équipements de base indispensables aux entreprises pour assurer la sécurité des informations numériques?

Hirschi: Il est avant tout essentiel de procéder à des sauvegardes régulières, c’est-à-dire d’enregistrer les données sur des supports mobiles. Les entreprises doivent en outre installer des programmes antivirus qu’elles vont constamment mettre à jour, ainsi qu’un pare-feu – un mode de contrôle d’accès interne d’internet. Elles doivent également utiliser des mots de passe aussi sécurisés que possible et les changer régulièrement.

À quoi ressemble une stratégie efficace à long terme pour les PME dans ce domaine?

Hirschi: La sécurité de l’information ne doit pas être considérée comme une affaire à court terme. Il s’agit plutôt d’un processus qui doit sans cesse faire l’objet d’améliorations. L’évaluation de la menace, l’environnement et les conditions-cadre évoluent en permanence. Pour déterminer si les mesures prises en matière de sécurité sont suffisantes, il peut être utile de se poser les questions suivantes: Quelles sont les données que je traite au sein de mon entreprise et quel est leur besoin de protection? Quels sont les systèmes informatiques indispensables pour mes processus commerciaux et dans quelle mesure en suis-je tributaire? Mes collaborateurs sont-ils suffisamment sensibilisés à la question du traitement sécurisé des données et des systèmes informatiques?

Existe-t-il en Suisse des entreprises exemplaires dans ce domaine?

Hirschi: Oui – mais ces entreprises se trouvent dans une situation particulière parce que les menaces pesant sur elles sont potentiellement élevées et/ou parce qu’elles sont soumises à de fortes exigences réglementaires. Il s’agit par exemple du secteur financier qui déploie depuis longtemps de gros efforts dans le domaine de la sécurité de l’information. Les entreprises technologiques ainsi que celles du secteur pharmaceutique ou de la chimie ont également d’importants besoins de protection. Mais le récent cas de vol de données informatiques chez le groupe de défense et d’aéronautique Ruag montre que même ces entreprises ne sont pas totalement à l’abri des cyberattaques, en dépit de tous leurs efforts.

Pouvez-vous citer des exemples à suivre parmi les PME?

Hirschi: Il est plutôt rare de trouver des exemples à suivre parmi les PME qui n’ont pas des besoins de protection très importants ou des exigences réglementaires particulièrement strictes. Ces dernières doivent portant elles aussi se pencher sérieusement sur le problème de la sécurité de l’information. Il est d’ailleurs important de souligner que depuis quelques années, les PME sont toujours plus visées par les cybercriminels, car leurs mécanismes de protection sont souvent insuffisants.

De quels pays les PME suisses peuvent-elles s’inspirer?

Hirschi: L’Office fédéral de la sécurité des technologies de l’information (BSI) en Allemagne est un modèle intéressant. Cette organisation employant plus de 600 collaborateurs prête une très grande attention à la sécurité de l’information et élabore des guides destinés aux entreprises pour l’exploitation sécurisée des infrastructures informatiques. En Suisse, ce rôle est assuré – dans une moindre mesure – par la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI).

Dans quelle mesure peut-il être intéressant de faire appel à une aide extérieure?

Hirschi: En l’absence du savoir-faire nécessaire, il est toujours judicieux de se faire conseiller par des entreprises spécialisées ou même de recourir à des prestataires externes pour certains services (par exemple, pour l’exploitation d’un pare-feu). Le recours à une aide extérieure assure un meilleur niveau de sécurité grâce à la spécialisation des prestataires. Elle peut également délester les plus petites entreprises qui ont alors plus de temps pour se consacrer à leur activité principale.


Informations

Biographie

Portrait d'Oliver Hirschi, professeur à l’Institut d’informatique de gestion de la Haute École de Lucerne.

Oliver Hirschi travaille depuis 2008 à la Haute École de Lucerne dans le domaine de la sécurité de l’information, où il dirige également la plate-forme numérique "eBanking – en toute sécurité!". Auparavant, il a étudié entre autres l’informatique et les technologies de l’information au sein de la même école, à la suite de quoi il a travaillé plusieurs années dans le domaine du génie logiciel pour des entreprises de Suisse alémanique. Il a par ailleurs cosigné la 8ème édition du "Informationssicherheitshandbuch für die Praxis" (manuel pratique de sécurité de l’information). Il mène l’étude sur la sécurité de l’information et les PME avec son collègue Armand Portmann.

Dernière modification 15.06.2016

Début de la page

https://www.kmu.admin.ch/content/kmu/fr/home/aktuell/interviews/2016/-cyberkriminelle-haben-kmu-verstaerkt-im-visier-.html