Sans cybersécurité, vous risquez l’exclusion du marché

Pour se rendre compte des contours d’une cyberattaque, plongeons-nous dans une situation fictive. Tôt le matin, chez la société Meier Präzisionstechnik, une petite entreprise de fabrication de pièces de précision, le directeur général, Peter Meier, veut démarrer les systèmes, vérifier les commandes de fabrication et lancer les machines lorsqu’un message pirate apparaît sur l’écran. Les données de conception, les nomenclatures et les programmes des machines sont cryptés, les fichiers sensibles ont été copiés. Une rançon est exigée. Peter Meier reste de marbre. Il savait que même les petites PME pouvaient être victimes d’une cyberattaque, il s’y était préparé. Mais le fait d’être confronté à cette attaque l’étonne tout de même. Passé le moment de surprise, il passe à l’action et sort le plan d’urgence de l’armoire, passe du traitement numérique des commandes au traitement manuel, importe les sauvegardes hors ligne et signale l’incident à l’Office fédéral de la cybersécurité (OFCS). En début d’après-midi, les machines fonctionnent déjà comme avant. Les dommages se limitent à une demi-journée de chiffre d’affaires, heureusement, le degré de préparation était important.

La cybercriminalité atteint de nouvelles dimensions

Ce cas fictif illustre une vague de cyberattaques qui touche également les PME. En Suisse, les cyberattaques connaissent une croissance fulgurante. Près d’une entreprise sur deux a été victime d’une attaque en 2024, comme le montre l’indice Cisco Cybersecurity Readiness Index actuel. Les cybercriminels agissent de manière sophistiquée: les e-mails de phishing restent l’un des principaux dangers pour introduire des logiciels malveillants ou voler des mots de passe. Les fraudeurs utilisent de plus en plus l’intelligence artificielle (IA), par exemple pour créer des deepfakes audio réalistes de chefs d’entreprise. Les attaques par ransomware, qui paralysent les systèmes informatiques comme dans l’exemple ci-dessus, se multiplient également dans les PME.

De nombreuses entreprises se rassurent en se disant: «Personne ne veut nous attaquer.» Pour les pirates, cependant, les PME faiblement protégées constituent une cible attrayante. Souvent, elles manquent de budget ou d’expertise, et la direction sous-estime le risque. Les conséquences peuvent être désastreuses: perte de données, arrêt des activités, perte de chiffre d’affaires et perte rapide de la confiance des clients. A cela s’ajoutent des obligations légales. Depuis 2023, la loi révisée sur la protection des données (revDSG) exige la «protection adéquate» des données à caractère personnel et oblige les entreprises à signaler les violations graves. Depuis avril 2025, les infrastructures critiques sont soumises à une obligation de signalement 24 heures sur 24 en cas de cyberattaque. En outre, une réglementation européenne est en train de se mettre en place: la loi européenne sur la cyber-résilience (CRA), qui entrera en vigueur en 2027. A partir de cette date, seuls les produits comportant des composants numériques (matériels ou logiciels) qui, quelle que soit la taille de l’entreprise, présentent des caractéristiques essentielles en matière de cybersécurité, telles que la sécurité dès la conception, pourront être vendus ou exploités dans l’UE. Quiconque développe des logiciels ou du matériel, fabrique des appareils IoT ou est fournisseur dans une chaîne d’approvisionnement de l’UE doit se conformer à la CRA. Sinon, il risque l’exclusion du marché ou des amendes. La cybersécurité devient un ticket d’entrée sur de nombreux marchés, y compris pour les PME suisses.

Cinq étapes pour une meilleure cyberrésilience

Même des mesures simples permettent d’augmenter considérablement la cyberrésilience. Il est important d’avoir une bonne cyberhygiène: des systèmes à jour et des mots de passe forts avec une authentification à plusieurs facteurs. Pour cela, il est nécessaire de former régulièrement les employés à la détection des attaques. Il est essentiel de disposer de sauvegardes fonctionnelles, sécurisées, testées et rapidement reproduisibles. Celles-ci doivent être stockées hors ligne ou dans un cloud externe. Et pour les cas critiques, il faut un plan d’urgence et de notification clair: qui informe qui, quels partenaires sont impliqués, comment contacter l’OFCS? Les produits propres avec des composants numériques doivent être développés selon le principe «Secure by Design» avec des revues de code, des tests de pénétration et une liste des composants logiciels utilisés («Software Bill of Materials»). Des mécanismes de mise à jour rapides et une documentation transparente des corrections des vulnérabilités sont essentiels. Enfin, la sécurité OT et la continuité de la production sont importantes: les réseaux de production et de bureau doivent être séparés selon le principe des zones. Cela permet de protéger le processus de fabrication en cas d’attaque au niveau informatique.

Même les PME qui reconnaissent l’importance de ces cinq mesures sont souvent confrontées à des budgets insuffisants et à un manque d’expertise interne. Afin que la cybersécurité ne reste pas un luxe inabordable, plusieurs stratégies sont possibles: l’externalisation vers des «Managed Security Service Providers», l’embauche d’un responsable de la sécurité à temps partiel («Chief Information Security Officer as a Service»), les cyberassurances et la simplification et l’uniformisation de l’informatique grâce à des infrastructures cloud modernes. A court terme, cela nécessite des investissements. A long terme, cependant, les avantages commerciaux, les économies de coûts et les améliorations en matière de sécurité sont extrêmement positifs.