Cybersécurité
Un effet de mode ou une nécessité pour les PME ?
Les deux frères Roger et Marco Hiestand ont fondé l’entreprise Brevit AG voici environ un an. Leur souhait est simple : aider les petites et moyennes entreprises à améliorer leur cybersécurité.
Nous avons interviewé les deux fondateurs sur les tendances actuelles en cybercriminalité et sur le niveau de la menace pour les PME suisses. Nous leur avons demandé pourquoi la cybersécurité doit être une préoccupation stratégique pour les directeurs et les conseils d’administration et pourquoi ils ont créé leur entreprise pendant la pandémie.
Interview
Les médias rapportent de plus en plus de cas de cyberattaques dans les petites entreprises. À quoi est-ce dû selon vous ? La cybersécurité est-elle une mode passagère ou une nécessité stratégique pour les PME suisses ?
M.H. : La transformation numérique de l’économie rend désormais chaque entreprise dépendante de l’IT. Cette dépendance comporte des risques. Ainsi, une PME suisse sur trois a déjà été concernée par une cyberattaque. Le dommage moyen d’une cyberattaque pour une PME débute à CHF 80 000 et, dans le pire des cas, il arrive que l’entreprise n’y survive pas. Les cyberattaques étant le plus souvent menées de façon totalement aléatoire et automatisée, elles touchent aussi bien les petites que les grandes entreprises. Pour une PME, le risque de subir une cyberattaque est même encore plus élevé que pour de grandes entreprises. Cela tient, d’une part, à la faible conscience des risques par les PME et, d’autre part, aux compétences en cybersécurité limitées des prestataires informatiques classiques en charge de leur informatique. Nous voulons changer cela. Brevit aide ses clients à aborder le cyberrisque comme un risque commercial et, comme pour tout autre risque commercial, à mettre en œuvre des mesures appropriées. La cybersécurité n’est ni un mal nécessaire, ni un phénomène de mode, mais un avantage concurrentiel à intégrer impérativement dans la stratégie d’entreprise à long terme. Pour être pérenne, une PME doit être à même de traiter scrupuleusement les données. La cybersécurité n’est donc pas un simple sujet informatique ; elle fait partie du devoir de diligence de la direction et du conseil d’administration.
Qu’est-ce au juste que la cybersécurité ?
R.H. : La cybersécurité englobe toutes les mesures techniques, organisationnelles et humaines d’une entreprise visant à garantir la confidentialité, l’intégrité et la disponibilité de ses données, de son matériel et de ses logiciels. La cybersécurité vise principalement à se prémunir contre les cyberattaques et à s’y préparer. Toute entreprise (PME) qui recourt à l’IT doit aujourd’hui partir du principe qu’elle sera touchée tôt ou tard par une cyberattaque.
Quelles sont actuellement les principales menaces pour la cybersécurité ?
M.H. : Les menaces sont multiples. En Suisse, le Centre national pour la cybersécurité (NCSC) recense chaque semaine plusieurs centaines de signalements d’entreprises concernant des cyberattaques. Ce n’est que la partie émergée de l’iceberg – les chiffres réels sont bien plus élevés. L’« ingénierie sociale », qui vise à susciter certains comportements chez les personnes, est largement répandue. Elle peut prendre la forme d’é-mails de phishing ou d’arnaques au virement, par exemple. Les attaques directes contre l’infrastructure IT sont également monnaie courante : les cybercriminels accèdent alors directement au réseau de l’entreprise par le biais d’appareils (ordinateurs, serveurs, etc.) connectés à Internet. Ils y arrivent sans trop d’efforts en exploitant les failles de sécurité de logiciels obsolètes. C’est pourquoi la gestion des correctifs est une mesure technique cruciale pour se prémunir contre les cyberattaques.
On entend souvent : « Je n’ai qu’une petite entreprise. Je ne suis pas une cible pour les pirates. » Qu’en pensez-vous ?
R.H. : C’est l’une des réponses standard que nous entendons souvent au début des entretiens. Autre grand classique : « Notre prestataire IT s’occupe de la sécurité informatique et nous sommes donc parfaitement armés. » Nous essayons de démentir la première affirmation par un entretien de conseil sans engagement. Nous informons mieux les directeurs en matière de cybersécurité et pointons le fait que les cyberattaques sont en général aléatoires et automatisées, que chaque ordinateur et appareil connecté à Internet ou à un réseau constitue une porte d’entrée potentielle, indépendamment de la taille de l’entreprise et du secteur d’activité. Face à la deuxième affirmation, nous tentons d’en savoir davantage sur les mesures de cybersécurité déjà déployées. Souvent, nous constatons rapidement que les directeurs ne savent pas précisément quelles sont les mesures mises en place actuellement et que ce qu’ils affirment repose sur de simples « ouï-dire ».
Comment les PME peuvent-elles se protéger au mieux contre les cyberattaques ?
M.H. : Globalement, nous constatons non seulement une hausse du nombre de cyberattaques, mais aussi une amélioration de la qualité des méthodes d’ingénierie sociale. Les e-mails de phishing ou les fausses demandes de paiement sont parfois très difficiles à identifier. Il est donc d’autant plus important pour les entreprises d’investir dans des programmes de sensibilisation des collaborateurs. Parallèlement, il est essentiel que les PME fassent leurs devoirs et investissent dans des mesures techniques et organisationnelles de cybersécurité. Cela confère aux petites entreprises un avantage concurrentiel stratégique. Une entreprise mieux protégée qu’une autre ne peut pas être aussi facilement compromise par les cybercriminels, ce qui en fait automatiquement une cible moins intéressante
Que doit faire en premier lieu une PME désireuse de se pencher sur la question de la cybersécurité ?
R.H. : Nous conseillons aux PME de solliciter l’avis d’un expert indépendant, de mettre toute leur infrastructure informatique au banc d’essai pour, en quelque sorte, en dresser l’état des lieux. Le but est de déterminer dans quelle mesure l’entreprise est réellement protégée et/ou préparée face aux cyberattaques. Il importe d’évaluer en profondeur, sous l’angle de la sécurité, l’ensemble du matériel, des logiciels ainsi que des processus et directives utilisés. En revanche, nous déconseillons aux PME de commencer par des « tests d’intrusion », d’une part parce qu’ils sont relativement onéreux et, d’autre part, parce qu’ils ne contrôlent que certains domaines de l’infrastructure. Un audit de sécurité complet, également appelé « évaluation des vulnérabilités », formule des recommandations d’action claires pour améliorer la cyber-résilience de l’entreprise. Ces conclusions servent alors de point de départ à une PME pour définir une stratégie de cybersécurité individuelle. Ce n’est qu’ainsi que les moyens financiers nécessaires peuvent être affectés de manière efficace aux bonnes mesures et assurer la meilleure protection possible.
Pourquoi avez-vous créé Brevit AG pendant la pandémie ?
M.H. : Comme expliqué précédemment, la nécessité de mesures de cybersécurité adéquates est hautement d’actualité en raison de l’augmentation des attaques. La pandémie n’a fait qu’accentuer le problème, car du jour au lendemain, de nombreuses entreprises ont dû permettre à leurs collaborateurs d’accéder à leur réseau pour télétravailler. Cela n’a fait qu’accroître les possibilités d’attaque des entreprises et a compliqué encore un peu plus la sécurisation efficace de leur infrastructure informatique. Le fait que nous ayons fondé notre entreprise pendant la pandémie tient plus du hasard, mais cela a aussi joué un rôle important pour nous. De manière générale, notre mission consiste à protéger les PME au même niveau de qualité que les grandes entreprises, mais à un prix adapté aux PME. Les PME suisses ont plus que jamais besoin de ce soutien.
Nous sommes impatients de vous apporter nos conseils !
www.brevit.ch ■