La «fin» annoncée de la pandémie met également un terme à la flexibilité des PME. Les résultats de la dernière étude sur la numérisation et la cybersécurité dans les PME montrent que le travail principalement depuis le domicile ne s’est pas établi. Il en va de même en ce qui concerne la cybersécurité: les entreprises interrogées n’accordent que peu d’importance à ce sujet pourtant très médiatisé. On ne constate d’ailleurs pas une généralisation de la mise en place de mesures organisationnelles et techniques visant à améliorer la cybersécurité. Un tiers des PME interrogées délèguent leur sécurité informatique à des prestataires externes. La qualité des prestations proposées est donc décisive pour la sécurité des petites et moyennes entreprises suisses.

Le domicile ne s’est pas établi comme un lieu de travail permanent. En cette «fin» de pandémie, la proportion de collaborateurs travaillant principalement depuis la maison est pratiquement retombée au niveau d’avant la crise dans les petites entreprises.

Comme l’exprime le Prof. Marc K. Peter de la Haute école spécialisée du Nord-Ouest de la Suisse: «Les résultats montrent que les directeurs des PME sont lassés du télétravail et souhaitent à nouveau voir davantage de personnel dans les bureaux. On peut toutefois supposer que de nombreux salariés se sont habitués à un mode de travail moderne, numérique et hybride et réclament également cette flexibilité dans les entreprises de taille restreinte. Compte tenu de la concurrence pour attirer du personnel qualifié, les directeurs sont invités à saisir les opportunités offertes par le monde du travail numérique moderne.»

Bien que la cybercriminalité soit régulièrement traitée dans les médias, les PME n’accordent que peu d’importance à ce sujet. Seules 18% des entreprises interrogées estiment que le risque de faire l’objet d’une cyberattaque les empêchant de travailler pendant au moins un jour est élevé (2020: 11%).

La prise de conscience croissante des risques ne s’accompagne pas d’une mise en œuvre plus décidée de mesures de sécurité organisationnelles et techniques. Les PME semblent néanmoins prendre au sérieux la menace de la cybercriminalité. La proportion de PME qui ont prévu des mesures de protection supplémentaire dans les une à trois prochaines années passe de 40% l'année dernière à 55%.

Nicole Wettstein, responsable du programme Cybersécurité à l’Académie suisse des sciences techniques (SATW) commente: «Même s’il est avéré que les petites et moyennes entreprises constituent également une cible intéressante pour une attaque, de nombreuses mesures de protection de base, en particulier sur le plan organisationnel, ne sont pas mises en œuvre de manière satisfaisante. Comme la prise de conscience croissante des risques le montrent, les PME ont toutefois reconnu le problème. Elles semblent cependant trop laxistes ou dépassées par la problématique pour pouvoir engager des mesures susceptibles de réduire les risques. Outre la médiatisation du sujet, d’autres efforts sont donc nécessaires pour encourager la mise en place de mesures de cybersécurité.

Comme l’enquête de l’année dernière l’avait déjà montré, les PME sont nettement plus enclines à engager des mesures techniques que des mesures organisationnelles. Les PME négligent par exemple souvent la formation des collaborateurs, la réalisation d’audits de sécurité ainsi que la mise en place d’un système de sécurité. En résumé, la mise en œuvre de mesures organisationnelles dans les entreprises laisse d’autant plus à désirer lorsque les directeurs des PME ne s’intéressent pas aux thèmes en lien avec les cyberrisques.

Simon Seebeck, spécialiste des sinistres à la Mobilière explique: «De nombreuses PME continuent d’ignorer ce danger réel de l’espace numérique. En tant que spécialiste des cybersinistres, je connais les conséquences des cyberattaques. Pour les limiter au maximum, il est important de définir clairement les responsabilités informatiques dans les entreprises. La sécurité informatique est un thème récurrent pour la direction et ne peut pas être entièrement déléguée à un prestataire externe. En effet, il ne faut pas seulement prendre des mesures techniques, mais aussi des mesures organisationnelles - par exemple la formation des collaborateurs.»

Dans un tiers des entreprises interrogées, des prestataires informatiques externes sont responsables de la sécurité informatique. «La qualité des prestations informatiques externes joue donc un rôle décisif pour le niveau de sécurité des PME suisses. Afin de garantir un niveau de protection adéquat, nous décernons le label CyberSeal (www.digitalsecurityswitzerland.ch/fr/cyberseal) aux prestataires informatiques qui mettent en œuvre les mesures techniques et organisationnelles nécessaires auprès de leurs clients. Les prestataires de services informatiques certifiés établissent le profil de risque de leurs clients à l’aide du test rapide de Cybero (www.cybersecurity-check.ch). Le danger reste toutefois élevé lorsque les PME font aveuglément confiance à leurs prestataires de services informatiques et négligent totalement les mesures de sécurité organisationnelles», explique Andreas W. Kaelin, directeur de l’Alliance Sécurité Digitale Suisse et Senior Advisor de digitalswitzerland. Que l’on s’intéresse ou non au sujet, chaque directeur d’entreprise en Suisse doit impérativement se pencher sur la question de la cybersécurité.