Test rapide de cybersécurité pour PME
De nos jours, les cyberattaques font partie du quotidien et de plus en plus des PME sont également touchées. Par rapport à celles-ci, les grandes entreprises investissent davantage dans la sécurité informatique, si bien que de nombreux pirates informatiques visent en premier lieu des cibles supposées moins bien protégées. Le test rapide de cybersécurité permet aux PME d’apprécier rapidement les dangers en la matière pour leur propre entreprise.
Selon l’étude «Cyberrisiken in Schweizer KMUs» publiée en décembre 2017, plus d’un tiers des PME suisses ont déjà été touchées par des cyberattaques. Même des petites entreprises comme des salons de coiffure ou restaurants sont des cibles potentielles. Les conséquences d’une cyberattaque peuvent être importantes: pertes financières, perturbation de l’activité commerciale, vol de données ou violations de la protection des données entraînant des poursuites pénales.
L’étude a mis au jour quelques faits alarmants: un grand nombre de PME sous-estiment le risque et sont insuffisamment protégées. En effet, alors que l’interconnexion croissante des systèmes et données d’entreprise avec l’internet accroît considérablement les cyberrisques, les PME négligent souvent les mesures de protection fondamentales telles que sauvegardes de données (backup), pare-feu et défense contre les logiciels malveillants, tout comme la formation à l’utilisation de systèmes et d’appareils informatiques pour leur personnel. Il est dès lors important que les PME puissent savoir si elles disposent de l’infrastructure essentielle en matière de cybersécurité.
Connaître les principales mesures de protection
Grâce au test rapide de cybersécurité pour PME, il est possible d’évaluer le niveau de protection et de préparation de son entreprise face au risque de cyberattaques. Répondre au questionnaire ne demande que quelques minutes et n’exige pas de connaissances spéciales de l’informatique et de la sécurité IT. Le test est complété par des indications les plus significatives complétées par des informations sur les principales mesures pour une protection de base. Celle-ci doit inclure à la fois des mesures techniques et humaines. Les solutions les plus perfectionnées sur le plan technique seront en effet inopérantes si les employés appelés à les utiliser ignorent ou n’appliquent pas correctement les directives de sécurité et les règles de comportement.
Les utilisateurs des outils informatiques d’une PME doivent apprendre en premier lieu à identifier les courriels contenant des logiciels malveillants ou des liens donnant accès à des sites web compromettants. En outre, les applications sensibles comme les transactions bancaires en ligne (e-banking) doivent absolument être protégées par des mots de passe distincts comprenant au moins huit signes. Des sauvegardes de données régulières sur des supports de stockage extérieurs au réseau d’entreprise revêtent aussi une importance primordiale à cet égard. De tels « backups » hors ligne servent à restaurer les données cryptées ou rendues inaccessibles par des pirates.
Instrument s’inscrivant dans le cadre de la Stratégie SNPC
Le test rapide a été développé à l’initiative de l’Association Suisse pour Systèmes de Qualité et de Management (SQS) sous la direction de la SATW et avec la participation d’experts de l’Office fédéral pour l’approvisionnement économique (OFAE), du groupe d’experts « Avenir du traitement et de la sécurité des données » de la Confédération, d’ICTswitzerland, de l’Unité de pilotage informatique de la Confédération (UPIC) – MELANI, de l’Information Security Society Switzerland, de l’Association Suisse de Normalisation (SNV) et de l’Association Suisse d’Assurances (ASA). Il apporte une contribution importante à la mise en œuvre de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC).
Dans le cadre des stratégies nationales de protection des infrastructures critiques et de protection de la Suisse contre les cyberrisques (SNPC), l’OFPP effectue des analyses des risques et des vulnérabilités en collaboration avec les autorités compétentes, les organes de surveillance et les organes de régulation, les associations professionnelles et les exploitants d’infrastructures critiques. C’est à partir des résultats de ces analyses, qui sont réalisées au niveau des sous-secteurs critiques correspondants (p. ex. services de laboratoire, médias, services financiers), que sont définies des mesures pour améliorer la résilience des infrastructures critiques. Parmi celles-ci figurent souvent des mesures pour renforcer la cybersécurité. Dans ce contexte, le test rapide pour PME apporte une contribution importante, ne se limitant pas aux aspects techniques mais mettant l’accent sur le facteur humain, à savoir sur le personnel d’une PME.
