Recherche avancée
Salons & Moteurs du groupe
A PROPOS
Nos chiffres

Témoignages

Mise relation d'affaires

Contact

 



Les PME sont toutes invitées à tester leur cybersécurité à l'aide de 12 points
 
Le 04-09-2018

La protection contre les cyberattaques n’est pas qu’une affaire des spécialistes mais dépend du comportement de tous les employés.

Aucune entreprise n’est trop petite pour être attaquée par des pirates. C’est l’un des messages clés de l’initiative de la Confédération et de plusieurs associations et entreprises ayant abouti à la mise à disposition d’un test rapide de cybersécurité pour les PME. Pour viser un DDoS (déni de service distribué), le tarif n’est que de 5 dollars l’heure, 40 dollars la journée, selon le responsable de la sécurité informatique de la Confédération et directeur de MELANI Pascal Lamia. Ce coût est bien modeste par rapport à des retombées qui peuvent dépasser les 100.000 francs! «Même de petits commerces comme un restaurant ou un salon de coiffure ne sont pas à l’abri», insistent les auteurs de ce test dans leurs «Conseils pour une protection minimale».

Les statistiques viennent à l’appui de ces avertissements. Plus d’un tiers des PME suisses ont déjà été frappées par des cyberattaques, en particulier par des virus et des chevaux de Troie, comme l’a rappelé le directeur d’ICTswitzerland Andreas Kaelin. Plus préoccupant encore, seulement 60% des entreprises ont mis en place des mesures de base comme la protection contre des maliciels, le firewall, la gestion des patches ou encore le backup de données, selon une étude de fin 2017. Il ne faut pas oublier non plus de protéger et crypter le réseau local sans fil, et de séparer les accès internes de celui pour les clients ou invités, ainsi que de crypter également le trafic de données, par exemple par le biais d’un VPN.

La sécurisation des données souvent lacunaire ou faisant totalement défaut rend les PME attrayantes en tant que cibles d’attaque. Leurs moyens plutôt rudimentaires doivent faire face à des attaques du même genre que celles dirigées contre des gouvernements. Un autre moyen de procéder est d’ailleurs d’envoyer des mails à la comptabilité en faisant croire à un ordre de paiement, sur un compte habituellement à l’étranger, validé par le CEO. La somme des dégâts peut dépasser le million.

Test élaboré par un groupe d’experts très large

Les dégâts potentiellement importants et le manque de conscience au sein des entrepreneurs par rapport à cette menace ont motivé une initiative particulièrement large. Le test a été élaboré sur l’initiative de l’Association Suisse pour Systèmes de Qualité et de Management SQS, sous la direction de l’Académie suisse des sciences techniques SATW. Il résulte du travail d’un groupe d’experts composé de représentants de l’OFAE, de la Commission d’experts instituée par le Conseil fédéral pour l’avenir du traitement et de la sécurité des données, d’ICTswitzerland (qui s’était manifesté à plusieurs reprises pour critiquer le manque d’engagement pour faire face à la menace des cyberattaques), UPIC-Melani, ISSS (Information Security Society Switzerland), SATW, SNV (Association Suisse de Normalisation), SQS et ASA (Association Suisse d’Assurances).

L’objectif est de sensibiliser aux lacunes de sécurité

Le test composé de questions réparties sur une douzaine de domaines s’adresse donc à toutes les PME. L’idée n’est pas de fournir une analyse détaillée du niveau de sécurité actuel, mais de rendre l’entreprise sensible aux éventuelles lacunes. Car ces questions font simplement établir un standard minimum pour toutes les PME. En fonction notamment de leur domaine d’activité, les entreprises peuvent, voire doivent aller au-delà de celui-ci. Les questions posées rappellent également que certains processus doivent être structurés, notamment en termes de droits d’accès et de cryptage de données. Cela commence par l’adoption d’une organisation claire. «Si les tâches, les compétences et les responsabilités pour ce qui touche à la sécurité informatique n’ont pas été réglementées, cela indique que le thème de la cybersécurité n’est pas suffisamment pris au sérieux», martèle le document de conseil.

Mais il ne sert à rien de déléguer ce dossier à des spécialistes. L’une des portes d’entrée privilégiées reste le mail contenant un fichier joint avec des maliciels ou des liens vers des pages infectées. Tout le personnel doit donc adopter le comportement de ne cliquer sur ces éléments que si l’expéditeur (le vrai expéditeur, qui ne correspond pas forcément à celui indiqué en titre) est fiable.

Ce n’est pas que pour éviter des dégâts directs que les PME ont intérêt à se renforcer dans le domaine de la cybersécurité. Comme les entreprises de taille plus grande, il leur incombe d’assurer notamment la protection des données. En plus du cadre juridique suisse, il faut tenir compte du Règlement européen sur la protection des données (RGPD), en vigueur depuis mai. «Vérifiez sans tarder si votre entreprise est concernée et prenez les mesures utiles, car des sanctions pécuniaires élevées sont prévues en cas de violation», rappelle le document.

Cet article vous est offert par Swissquote
Christian Affolter

AGEFI

 



Copyright © 2001 - 2018 Inter Group News All Rights Reserved