Pour une PME, qu’est-il important de mettre en place pour assurer une sécurité minimale en matière de risques Cyber ?
Il est important d’inclure la cybersécurité dans la gestion globale du risque, au même titre que les incendies, dégâts des eaux, infractions, etc. Il faut établir une certaine hygiène cybernétique de base, qui peut varier en fonction de la nature sensible des informations traitées. Dans ce cadre, il est important que tous les systèmes informatiques soient constamment mis à jour pour éviter que les pirates exploitent des failles de sécurité, que les sauvegardes soient réalisées de manière judicieuse afin d’atténuer les effets des attaques par rançonciels, que les accès soient sécurisés (mots de passe avec des exigences minimum, accès à distance avec 2 facteurs d’authentification) et que les collaborateurs soient sensibilisés aux risques Cyber, les mails représentant 91% des cyberattaques ciblées sur les entreprises
Qu’en est-il du facteur humain ?
Toujours plus de cyberattaques se concentrent sur la faille humaine : utilisation du même mot de passe pour les réseaux sociaux et pour le compte d’utilisateur professionnel, ouverture d’un lien ou d’une pièce jointe d’un courriel infecté par un virus, ingénierie sociale, etc. On peut relever que les pirates informatiques ont nettement amélioré la qualité de leurs attaques qui autrefois comportaient des erreurs de langue flagrantes pour les rendre aujourd’hui beaucoup plus crédibles, donc plus difficiles à détecter. Pour lutter efficacement contre la cybercriminalité, chaque collaborateur doit donc être conscient des cyberrisques et agir avec la prudence nécessaire.
Le collaborateur doit être au centre des réflexions en matière de sécurité informatique.
Comment renforcer cette prise de conscience au sein d’une entreprise ?
Le collaborateur doit être au centre des réflexions en matière de sécurité informatique. Une culture de la responsabilité individuelle doit naître au sein de l’entreprise. Cela se cultive avec des formations de sensibilisation et des séances d’information. Les collaborateurs doivent comprendre que les connaissances numériques de leur entreprise ainsi que les informations et les données des clients traitées au quotidien doivent être impérativement protégées. Une sensibilisation à la sécurité moderne ne vise donc pas uniquement à transmettre le savoir nécessaire, mais à changer les habitudes comportementales des collaborateurs. Chacun doit apporter sa pierre à l’édifice pour garantir la sécurité de l’information.
Pour un patron de PME, que faire en cas de cyberattaques ?
Le plus important est de l’annoncer très rapidement à son assureur. Il faut en effet intervenir immédiatement pour limiter les dégâts causés. Chez Bâloise, nous avons une hotline disponible 24 heures sur 24, 7 jours sur 7. Notre réseau d’experts travaille souvent en coordination avec le prestataire de services informatiques des entreprises touchées. Notre cyberassurance couvre 90% des activités économiques des PME suisses. Elle cible en particulier les entreprises jusqu’à 50 millions de chiffre d’affaires, et couvre notamment la perte de chiffre d’affaires, la réparation du dommage ou encore le cyberchantage (gestion du risque réputationnel).
La cybersécurité est-elle encore lacunaire chez les PME ?
Même si l’importance des données et des systèmes informatiques pour la bonne marche de l’entreprise est encore parfois sous-estimée, de plus en plus de PME prennent en compte cet aspect sécuritaire. Les mentalités évoluent dans la bonne direction, et un grand nombre de patrons ont compris qu’il s’agissait d’une thématique importante. La guerre en Ukraine augmentera encore sans doute cette sensibilité en raison des menaces cybernétiques, directes ou indirectes, susceptibles de se développer à l’avenir. Cependant, en raison de la masse importante d’information désormais disponible, beaucoup de PME peinent encore à choisir les solutions les plus adaptées à leurs besoins, à décider ce qui est le mieux pour elles.
Pierre Mitschi, responsable du volet Cyber chez Bâloise
Cinq bonnes pratiques à adopter :
- Désigner un responsable de la sécurité informatique
- Créer des copies de sécurité de vos sauvegardes
- Effectuer les mises à jours de sécurité de vos systèmes/programmes
- Se tenir informé auprès des organismes compétents
- Souscrire une cyberassurance
