Selon l’étude de cette année sur le marché de l’emploi des PME, de nombreuses entreprises suisses ne sont toujours pas suffisamment protégées contre les cyberattaques. En effet, seule la moitié des entreprises interrogées ont défini des règles pour les mots de passe de leur personnel. Les résultats de l’étude montrent également que beaucoup de PME sous-estiment les conséquences financières d’une cyberattaque.
Les cybermenaces augmentent sensiblement. En moyenne, l’Office fédéral de la cybersécurité (OFCS) a reçu une annonce de cyberincident toutes les 8,5 minutes jusqu’à la fin octobre 2024. Et même si les coûts et les dommages associés peuvent être considérables, de nombreuses PME ont encore une marge d’amélioration en matière de protection contre les cyberattaques, comme le montre l’étude d’AXA.
Une petite moitié seulement sensibilise son personnel
Les deux tiers des entreprises interrogées (65%) effectuent des sauvegardes régulières de leurs données et ont installé un logiciel antivirus (également 65%), et 60% d’entre elles disposent d’un pare-feu. En creux, ces chiffres montrent que de nombreuses PME pourraient mieux se protéger. En effet, un tiers des PME interrogées n’applique pas les mesures de protection les plus élémentaires comme des sauvegardes régulières, et seule la moitié (53%) a défini des règles de mots de passe. De même, seule environ une PME sur deux fait des sauvegardes de ses données en externe (52%) et forme et sensibilise son personnel aux cyberattaques (48%).
Cet état de fait préoccupe Katrin Sprenger, CEO de Silenccio, le partenaire de coopération d’AXA, qui protège les particuliers et les entreprises contre les dangers liés à Internet: «Les cybercriminels recourent, eux aussi, de plus en plus à l’intelligence artificielle pour attaquer encore plus vite et plus souvent, d’où un risque accru de cyberattaques. Les entreprises doivent renforcer rapidement leur cyberdéfense si elles veulent ne pas être à la merci de cette évolution.»
Une PME sur six est victime d’une cyberattaque
Les PME estiment qu’elles sont bien positionnées en matière de cyberrésilience: 61% des entreprises interrogées jugent leur cybersécurité plutôt ou très forte. Les résultats montrent toutefois qu’une sur six (16%) a été victime au moins une fois d’une cyberattaque au cours des cinq dernières années. Les grandes PME sont particulièrement touchées: 35% des entreprises employant entre 50 et 250 personnes ont été la cible d’une cyberattaque au cours des cinq dernières années.
Moins de la moitié (49%) des entreprises concernées ont été victimes d’une attaque par ransomware, environ un tiers par phishing (34%) ou par malware (33%) et une entreprise sur six (16%) a été victime de hacking. «Nous conseillons à toutes les PME de faire le point sur leur cybersécurité et de prendre les mesures de protection qui s’imposent», explique Katrin Sprenger.
Les conséquences d’une cyberattaque peuvent être dévastatrices
Une intrusion dans le réseau d’une PME peut entraîner des coûts directs et indirects considérables. Les PME interrogées se montrent toutefois plutôt confiantes dans ce domaine. La moitié des entreprises sondées estiment qu’il est probable que les coûts de rétablissement de la sécurité informatique soient élevés et 42%, qu’il y ait une forte atteinte à la capacité d’exploitation. En revanche, elles ne sont que respectivement 34% et 29% à s’attendre à un préjudice financier important dû à l’interruption de l’activité ou à un dommage de réputation. C’est une erreur, comme l’explique Katrin Sprenger. «Les entreprises mettent en moyenne plus de sept mois à se remettre d’une cyberattaque. Souvent, elles enregistrent de lourdes baisses de chiffre d’affaires liées aux pertes d’exploitation et doivent supporter des coûts élevés pour la reconstitution des systèmes et des données et pour la gestion de crise. Les violations de la protection des données les exposent en outre à des actions en dommages-intérêts et portent durablement atteinte à leur image», explique l’experte.
Près des trois quarts ne répondraient pas à des demandes de rançon
À la question de savoir si elles paieraient une rançon en cas de cyberattaque afin d’éviter des dommages, près des trois quarts (71%) des entreprises interrogées répondent non, et près de 20% ne savent pas comment elles réagiraient dans une telle situation. Aussi, Silenccio conseille à sa clientèle de ne pas accéder aux demandes de rançon: «Il n’y a aucune garantie que les pirates informatiques ne publieront pas ou ne revendront pas les données. Un paiement peut les encourager à développer leurs activités. Signalez plutôt l’incident à l’Office fédéral de la cybersécurité. À titre préventif, nous recommandons d’élaborer un plan d’urgence et de conclure une assurance Cyber qui offre l’assistance immédiate de spécialistes en cas d’attaque par ransomware», explique la CEO Katrin Sprenger. (AXA/hzi/ps)
L’étude
La série d’études d’AXA sur le marché de l’emploi permet d’éclairer la situation et les perspectives des petites et moyennes entreprises en Suisse. Elle présente les défis auxquels sont confrontées les PME sur le marché du travail suisse et comment elles y font face. Comme les années précédentes, l’étude a été réalisée par l’institut de recherche Sotomo à la demande d’AXA. Pour la présente édition, 300 PME de Suisse alémanique et de Suisse romande ont été interrogées entre le 3 et le 10 mars 2025.