30.08.2022
Une étude d’AXA montre que les PME suisses restent très peu sensibilisées aux risques en matière de cybercriminalité. Les PME ne sont pas non plus très au fait de la nouvelle loi sur la protection des données.
La digitalisation permet d’optimiser et donc d’accélérer les processus tout en faisant baisser leurs coûts. Mais elle augmente aussi le risque d’être victime d’une cyberattaque. Selon les statistiques, plus de 30 000 infractions numériques ont été signalées en Suisse en 2021, soit une augmentation de 24% par rapport à 2020. Une étude représentative d’AXA montre pourtant que les PME suisses restent très peu sensibilisées aux risques dans ce domaine.
Quelque 15% des entreprises interrogées disent avoir été victimes d’une cyberattaque au cours des dernières années, des personnes extérieures ayant tenté de pénétrer leur réseau d’entreprise afin d’accéder à leurs données (14% des petites PME et 29% des grandes PME, une sur dix de manière répétée). Les entreprises suisses ne s’imaginent pourtant pas être la cible de cybercriminels: 62% des PME sondées jugent faible le risque d’être victime d’une telle attaque. Elles ne sont que 12% à qualifier le risque d’élevé. Une erreur, selon Andrea Rothenbühler, responsable de l’assurance Cyber d’AXA: «Les entreprises suisses et leurs systèmes informatiques sont de plus en plus souvent la cible de cyberattaques. Les PME, en particulier, sont de plus en plus visées par les hackers, qui profitent du fait qu’elles ne peuvent investir autant dans leur sécurité informatique que les grands groupes.»
Si ces accès non autorisés peuvent avoir des coûts directs pour l’entreprise, ils peuvent aussi la contraindre à interrompre sa production et nuire à sa réputation. Les PME interrogées jugent pourtant faible le risque qu’une cyberattaque entraîne un préjudice matériel et immatériel majeur pour elles. Les coûts de rétablissement de la sécurité informatique sont les plus souvent cités (36%). Elles sont 29% à évoquer un impact significatif sur leur fonctionnement et 20%, de lourdes pertes financières liées à l’interruption de leur activité ou une atteinte grave à leur réputation. À l’exception des frais élevés de rétablissement de la sécurité informatique, ces conséquences sont toutefois perçues comme assez peu, voire très peu probables. L’experte en cybersécurité Andrea Rothenbühler ajoute: «Pour une PME spécialisée en construction mécanique, une seule semaine d’interruption de l’exploitation peut entraîner de lourdes pertes financières. Sans oublier les coûts élevés de reconstitution des données, de gestion de crise et d’assistance par des prestataires informatiques et des spécialistes en cybersécurité. En cas de violation des règles de protection des données, l’entreprise s’expose par ailleurs à des demandes de dommages-intérêts de clients et à des amendes.»
D’après les résultats de l’étude, 60% des PME se sentent suffisamment protégées des accès à leurs données d’entreprise par des pare-feux et des logiciels antivirus. Si 17% des entreprises interrogées pensent que leurs mesures de protection ne sont pas suffisantes, environ un quart ne savent pas si elles prennent suffisamment de précautions.
On remarque également des différences au niveau des autres mesures de protection techniques: 73% des PME interrogées effectuent des sauvegardes régulières de leurs données, et un peu plus des deux tiers utilisent un logiciel antivirus. Un peu plus de la moitié (55%) ont installé un pare-feu afin de protéger leur réseau d’entreprise et 46% seulement ont défini des règles pour la création de mots de passe.
La facteur humain n’est pas non plus suffisamment pris en compte: seules deux PME sur cinq sensibilisent leur personnel aux cyberrisques. On observe de nettes différences en fonction de la taille de l’entreprise: alors que 74% des grandes PME comptant entre 50 et 250 collaborateurs sensibilisent leur personnel aux risques informatiques, 51% seulement des PME moyennes de 10 à 49 collaborateurs et 38% des petites PME de 2 à 9 collaborateurs le font.
C’est pourtant à ce niveau que les PME devraient investir: «Dans environ 70% des cyberattaques, ce sont les membres du personnel qui laissent entrer les logiciels malveillants. Par conséquent, les entreprises ont tout intérêt à investir en priorité dans la formation de leur personnel. En effet, les logiciels ne sont pas les seuls à nécessiter une mise à niveau régulière. En plus de compliquer la tâche aux hackers, cela permet d’adopter les bons réflexes en cas d’infection», explique Andrea Rothenbühler.
Les PME ne sont pas non plus très au fait de la nouvelle loi sur la protection des données. Il ressort en effet de l’étude que plus d’une PME interrogée sur cinq ne se sent pas concernée par la révision totale. Et même parmi celles qui savent être soumises à la LPD, seule une sur deux a déjà pris des mesures. Elles sont à peine 16% à s’être informées, et seulement un dixième à avoir pris des mesures concrètes. Brigitte Imbach, avocate et Data Privacy Officer d’AXA-ARAG, met en garde contre le risque de sous-estimer les conséquences de la nouvelle loi sur la protection des données: «Avec la révision totale de cette loi, des dispositions importantes relatives au traitement des données personnelles seront modifiées à partir de septembre 2023. Les petites et moyennes entreprises sont concernées, elles aussi.»
Les violations intentionnelles des obligations d’informer, de renseigner, de collaborer ou des devoirs de diligence prévus par la nouvelle loi sur la protection des données exposent à une amende pouvant atteindre 250 000 francs. C’est en principe la personne physique responsable qui est sanctionnée, mais l’entreprise pourra également se voir infliger une amende pouvant aller jusqu’à 50 000 francs si l’identification de celle-ci entraîne des coûts disproportionnés. «Les PME feraient donc bien d’appliquer au plus vite les nouvelles dispositions légales et de revoir leurs déclarations et directives en la matière afin de les mettre en conformité. Si elles ne disposent pas des compétences requises en interne, elles ne doivent surtout pas hésiter à faire appel à une aide extérieure et à demander conseil», conclut l’experte.
Quelque deux millions de clients en Suisse font confiance à l’expertise d’AXA dans l’assurance de personnes, de choses, de la responsabilité civile, de la protection juridique, dans l’assurance-vie ainsi que dans la prévoyance santé et la prévoyance professionnelle. Aux côtés des particuliers et des entreprises auxquels elle propose des produits et des services innovants, notamment dans la mobilité, la santé, la prévoyance et l’entrepreneuriat, relayés par des processus simplifiés et numériques, AXA encourage ses clients à avoir confiance en eux même dans les situations difficiles, à travers sa promesse de marque «Know You Can». Ses 4500 employés et 3000 collaborateurs de la Distribution s’engagent quotidiennement en ce sens. Comptant plus de 340 agences, AXA dispose du réseau de distribution le plus dense de Suisse dans la branche de l’assurance. AXA Suisse fait partie du Groupe AXA et a réalisé en 2021 un volume d’affaires de 5,5 milliards CHF.