Comment les PME peuvent se protéger du cybercrime
En résumé
Les PME se sentent souvent dépourvues face aux risques liés à la sécurité informatique. Savoir quelles questions se poser peut les aider à s’en protéger. Des ressources sont également à leur disposition.
Cent mille euros: c’est la somme qu’a perdu en un peu plus d’une heure une entreprise genevoise de soixante employés. Des cybercriminels avaient créé un site frauduleux de transfert bancaire et, munis de toutes les informations pertinentes, s’étaient fait passer pour le helpdesk d’UBS. Morale de l’histoire: même une PME peut être victime d’une attaque sophistiquée. Les attaques se sont d’ailleurs multipliées depuis le début de la crise sanitaire. C’est le constat qui a été tiré lors de deux événements Industry Connect, organisés par la plateforme Alp ICT.
La question n’est pas de savoir si vous serez attaqués, mais quand, répètent les experts. Pas besoin de brasser des millions pour être exposé. «Les hackers investissent selon le gain estimé: s’ils peuvent avoir un petit gain facilement, ils s’attaqueront à de petites proies», écrit Sandrine Barrucand, responsable communication et événements chez Alp ICT. Pour se prémunir, une PME devrait mener une réflexion en suivant les étapes suivantes, ont recommandé les participants.
1. Identifier les risques
Ils peuvent être liés aussi bien à des actes malveillants, venant de l’interne ou de l’externe, qu’à des événements tels qu’une défaillance matérielle, un incendie, une erreur humaine, une inondation, etc.
2. Chiffrer les coûts d’une attaque
Pour chiffrer la valeur de ses données, il faut les catégoriser selon trois critères, recommande Cyber Safe, un label de sécurité informatique sans but lucratif spécifiquement destiné aux PME.
- La confidentialité: combien la divulgation de vos données dans l’espace public vous coûteraitelle?
- L’intégrité: quel pourrait être l’impact financier d’une modification de vos données?
- L’accessibilité: quelles pertes subiriez-vous si vous ne pouviez plus accéder à vos données, de manière temporaire ou définitive?
3. Choisir des outils technologiques appropriés
«Il est important d’utiliser des outils faits pour une seule chose, mais qui le font très bien,contrairement à ceux qui sont polyvalents, mais plus sujets aux bugs et aux failles de sécurité», préviennent Alp ICT et l’entreprise de sécurité informatique Siodb dans un document réalisé en commun.
4. Prendre des mesures organisationnelles
De nombreuses attaques parviennent à contourner les défenses technologiques en exploitant des erreurs humaines. Il faut donc examiner son organisation (qui a accès à quelles informations, à quelles conditions, selon quelles procédures, etc.). Il est aussi indispensable de sensibiliser et de former ses collaborateurs de manière régulière aux risques informatiques
5. Connaître le cadre juridique
Il est obligatoire d’annoncer très rapidement toute attaque détectée au Préposé fédéral à la protection des données et, le cas échéant, à l’autorité de contrôle de chaque pays de l’Union européenne dans lequel se trouvent des personnes concernées. Le risque principal n’est pas la sanction, mais le dommage à la réputation, estime Philipp Fischer, partenaire fondateur du cabinet d’avocats Oberson Arbels.
6. Prendre des mesures préventives
«Tester, contrôler et mettre à jour les protections, vérifier les sauvegardes, réaliser des exercices de simulation de crise, s’informer des bonnes pratiques, s’adapter aux évolutions des menaces, former et sensibiliser continuellement les utilisateurs», conseille Alp ICT.
Quatre ressources pour les PME
- Cyber Safe, un label de sécurité spécialement destinés aux PME ayant moins de cent à cent cinquante employés, a été élaboré par l’Association suisse pour le label de cybersécurité. Il permet de réaliser un audit à prix avantageux, sur la base duquel on peut combler ses failles de sécurité et, le cas échéant, recevoir la certification. Voir www.cyber-safe.ch
- Un aide-mémoire pour les PME en matière de sécurité de l’information est disponible en ligne. Il a été élaboré par le Centre national pour la cybersécurité NCSC.
- Un test rapide de cybersécurité pour PME est disponible en ligne. Il est proposé par l’association ICT Switzerland.
- Alp ICT a réalisé des infographies pédagogiques sur le thème de la cybersécurité, en collaboration avec des entreprises externes. Elles sont disponibles sur son site. Les thèmes traités:
- les quatre fondamentaux de la cybersécurité;
- évaluer la valeurs de vos données pour mieux les protéger;
- la sécurisation des données dans le cloud;
- développer et implémenter des solutions en intelligence collective.