Comment les PME peuvent se protéger du cybercrime

Cent mille euros: c’est la somme qu’a perdu en un peu plus d’une heure une entreprise genevoise de soixante employés. Des cybercriminels avaient créé un site frauduleux de transfert bancaire et, munis de toutes les informations pertinentes, s’étaient fait passer pour le helpdesk d’UBS. Morale de l’histoire: même une PME peut être victime d’une attaque sophistiquée. Les attaques se sont d’ailleurs multipliées depuis le début de la crise sanitaire. C’est le constat qui a été tiré lors de deux événements Industry Connect, organisés par la plateforme Alp ICT. 

La question n’est pas de savoir si vous serez attaqués, mais quand, répètent les experts. Pas besoin de brasser des millions pour être exposé. «Les hackers investissent selon le gain estimé: s’ils peuvent avoir un petit gain facilement, ils s’attaqueront à de petites proies», écrit Sandrine Barrucand, responsable communication et événements chez Alp ICT. Pour se prémunir, une PME devrait mener une réflexion en suivant les étapes suivantes, ont recommandé les participants. 

1. Identifier les risques 

Ils peuvent être liés aussi bien à des actes malveillants, venant de l’interne ou de l’externe, qu’à des événements tels qu’une défaillance matérielle, un incendie, une erreur humaine, une inondation, etc.

2. Chiffrer les coûts d’une attaque

Pour chiffrer la valeur de ses données, il faut les catégoriser selon trois critères, recommande Cyber Safe, un label de sécurité informatique sans but lucratif spécifiquement destiné aux PME.

• La confidentialité: combien la divulgation de vos données dans l’espace public vous coûteraitelle?
• L’intégrité: quel pourrait être l’impact financier d’une modification de vos données? 
• L’accessibilité: quelles pertes subiriez-vous si vous ne pouviez plus accéder à vos données, de manière temporaire ou définitive?

3. Choisir des outils technologiques appropriés

«Il est important d’utiliser des outils faits pour une seule chose, mais qui le font très bien,contrairement à ceux qui sont polyvalents, mais plus sujets aux bugs et aux failles de sécurité», préviennent Alp ICT et l’entreprise de sécurité informatique Siodb dans un document réalisé en commun.

4. Prendre des mesures organisationnelles

De nombreuses attaques parviennent à contourner les défenses technologiques en exploitant des erreurs humaines. Il faut donc examiner son organisation (qui a accès à quelles informations, à quelles conditions, selon quelles procédures, etc.). Il est aussi indispensable de sensibiliser et de former ses collaborateurs de manière régulière aux risques informatiques

5. Connaître le cadre juridique

Il est obligatoire d’annoncer très rapidement toute attaque détectée au Préposé fédéral à la protection des données et, le cas échéant, à l’autorité de contrôle de chaque pays de l’Union européenne dans lequel se trouvent des personnes concernées. Le risque principal n’est pas la sanction, mais le dommage à la réputation, estime Philipp Fischer, partenaire fondateur du cabinet d’avocats Oberson Arbels.

6. Prendre des mesures préventives

«Tester, contrôler et mettre à jour les protections, vérifier les sauvegardes, réaliser des exercices de simulation de crise, s’informer des bonnes pratiques, s’adapter aux évolutions des menaces, former et sensibiliser continuellement les utilisateurs», conseille Alp ICT.