Les PME vaudoises trop laxistes et naïves face aux cybermenaces
Face aux risques de cyberattaque, les entreprises vaudoises se sentent insuffisamment concernées, apparaissent mal informées et ne forment pas assez leurs collaborateurs. Des constats issus d’une étude que vient de publier la Chambre vaudoise du commerce et de l'industrie (CVCI).
Alors qu’une entreprise vaudoise sur trois a déjà été victime d’une cyberattaque, seul un quart a mis en place des formations en la matière. C’est l’un des constats inquiétants qui ressort d’un sondage récent mandaté par la Chambre vaudoise du commerce et de l'industrie (CVCI). L’étude a été menée auprès de 490 entreprises membres de la CVCI, pour la plupart des PME, dans le but de savoir dans quelle mesure elles ont déjà été touchées par des cyberattaques et comment elles agissent pour s’en prémunir.
Pas concernées
Le sondage montre en outre qu’un tiers des entreprises estiment ne pas être concernées par les cyber-risques, notamment en raison de leur petite taille. Mais aussi car elles estiment posséder peu de données stratégiques, confidentielles ou personnelles. Seule une PME sur cinq ne se sent pas concerné car ses systèmes IT sont suffisamment sécurisés. Parmi le tiers des PME ayant déjà subi au moins une cyberattaque, plus d’un quart concède que les investissements nécessaires pour réparer les dégâts ont dépassé les 10'000 francs.
Le phishing ne fait pas peur
L’étude met aussi en lumière le manque de connaissance des entreprises vaudoises concernant les menaces informatiques. Ainsi, alors que la méthode du phishing (hameçonnage) est utilisée dans la grande majorité des tentatives de piratage, moins d’une firme sur dix évoque spontanément cette technique parmi les menaces potentielles. Les PME vaudoises ont davantage à l’esprit les risques liés à un vol de données, aux virus et chevaux de Troie, de même que la menace que constituent les rançongiciels.
Les firmes interrogées s'informent en majorité sur ces problèmes via les médias, internet et le bouche à oreille. Seul un tiers des sondés disent s’informer via les canaux dédiés des autorités cantonales ou fédérales et 11% le font auprès de prestataires et consultants.
Mesures insuffisantes
Que font les PME vaudoises pour se prémunir contre les risques cybersécuritaires? Alors que la plupart a déjà mis en place des serveurs de sauvegarde et des solutions firewall, moins de la moitié ont renforcé leur politique de sécurité IT ou procédé à des audits (externes ou internes) permettant d’évaluer les risques qu’elles encourent. Une PME sur deux fait appel à des entreprises spécialisées pour se protéger. Alors que la plupart des pirates informatiques profitent de l’insouciance ou de l’ignorance des collaborateurs pour perpétuer leurs attaques via des techniques de phishing, qu’un tiers des entreprises interrogées ont fait ou prévu des formations dans le domaine. Parmi elles, la majorité a recours à une sensibilisation des employés en interne. Moins de 20% d’entre elles procèdent à des tests de phishing réalisés par des experts externes.
Pour savoir si elles sont suffisamment armées face aux cybermenaces, les PME ont depuis peu la possibilité de réaliser un test rapide de cybersécurité mis en ligne par la Confédération.