«Too small to fail»

Fin 2018, une étude de la CVCI menée auprès des entreprises vaudoises révélait que 41% d’entre elles estimaient être trop petites ou pas assez intéressantes pour craindre une cyberattaque! Presque cinq ans plus tard, la situation est bien différente. C’est que depuis, le Covid – avec son télétravail – et le conflit russo-ukrainien sont passés par-là. Les exemples d’attaques sont légion s’égrainant aussi bien au niveau privé qu’aux échelons institutionnels. Personne n’est à l’abri. Alors qu’un tiers des chefs d’entreprise se disaient inquiets par le sujet en 2018, 90% avouent aujourd’hui être préoccupés par cette réalité, selon notre nouvelle enquête.

On a parfois l’impression que la Suisse se trouve au centre de la carte des hackers. Le fait que les rançons soient adaptées aux moyens des entreprises, qu’elles les paient sans trop faire de bruit et que, parfois, elles aient même contracté une cyberassurance, rend notre pays particulièrement attractif. Sans compter qu’en matière de cyberdéfense, nos PME, surtout, sont très ou trop souvent des proies faciles. Pas assez de réflexes, manque de stratégie interne et complexité du sujet expliquent aussi cette vulnérabilité. Le risque systémique pour notre tissu économique doit nous alerter.

On ne va pas se mentir: entre recherche de talents, franc fort, inflation, prix de l’électricité, et j’en passe, la cybersécurité est un dossier qui a tendance à stagner dans la grande pile des priorités des entrepreneurs. Trop souvent malheureusement. Faute de temps, de matériel adapté ou de spécialiste, leurs structures ne savent tout simplement pas par où commencer. La majorité croise les doigts en espérant passer entre les gouttes. Elles savent pourtant qu'elles sont «too small to fail».

Face aux efforts individuels, il faut se demander si la cyberdéfense ne serait pas à ranger au rang de conditions-cadres au même titre que la sécurité dans les rues. Une condition-cadre qui serait garantie par l’Etat pour permettre à l’économie de se concentrer sur ses tâches primaires et rester concurrentielle. Formellement, l’Etat n’a qu’un rôle subsidiaire dans ce domaine, sans compter qu’il doit aussi lui-même se protéger. Le Conseil fédéral a dernièrement décidé de faire de son Centre national pour la cybersécurité un office fédéral à part entière. Le chemin reste toutefois long avant que l’on puisse attendre une coordination des forces face à une problématique que d’aucuns considèrent d’ordre privé.

Avant d’y parvenir, les entreprises seraient bien inspirées d’auditer leurs systèmes. De déterminer quels sont leurs outils et données névralgiques et, surtout, d’imaginer stratégiquement leur plan de continuité en cas d’attaques. Tristement, la question n’est plus uniquement comment se prémunir, mais comment réagir.