Le risque de subir une cyberattaque fait désormais partie du quotidien de la majorité des entreprises suisses. Au cours des douze derniers mois, 88% d'entre elles en ont été victime, contre 54% l'année précédente, selon une enquête de KPMG. Les petites et moyennes firmes sont toujours plus ciblées.

Chez plus de la moitié (56%) des quelque 60 entreprises interrogées par le cabinet d'audit et de conseil, l'assaut a provoqué une interruption de l'activité commerciale. Plus d'un tiers (36%) d'entre elles ont essuyé en conséquence des pertes financières, révèle le sondage de KPMG présenté mardi à Zurich, et réalisé pour la troisième fois.

Impossible d'évaluer le manque à gagner en Suisse, affirme Matthias Bossardt, responsable du secteur cybersécurité chez KPMG. Car craignant des répercussions sur leur réputation, ou une perte de relations d'affaires, les firmes qui ont subi une attaque virtuelle ne vont certainement pas le clamer tous azimuts.

Les dommages sur la réputation concernent désormais plus d'un sondé sur trois (37%). Elles sont 27% (contre 16% un an auparavant) à s'être fait dérober des données confidentielles de clients ou de partenaires.

Pas que les banques

En Suisse, les banques ont elles l'obligation, imposée par l'Autorité fédérale de surveillance des marchés financiers (FINMA), de mettre en oeuvre des mesures de cybersécurité, explique à l'ats Marc Bieri, expert en lutte contre la fraude informatique chez KPMG. Les établissements bancaires doivent également rapporter toute cyberattaque, au risque de se voir retirer leur licence.

Ainsi, la législation biaise les statistiques. Parmi les sociétés qui ont répondu au sondage, 39% sont issues du secteur financier, contre 18,6% du secteur des biens de consommation et industriel et 13,6% actives dans l'énergie et les ressources naturelles. Mais le secteur public, les médias ou encore les hôpitaux admettent aussi des incidents. Les pirates informatiques visent là où il y de l'argent à prendre, selon les spécialistes de KPMG. Jadis, les brigands braquaient à main armée les banques. Mais celles-ci ont renforcé leur sécurité et les malfrats se sont tournés vers les petits kiosques ou stations services, moins protégés. «On observe le même phénomène dans le monde virtuel», souligne Marc Bieri.

Ainsi, les petites et moyennes entreprises (PME), encore plus vulnérables, deviennent des cibles privilégiées. Les fraudeurs visent des sommes peut-être moins élevées, mais un plus large nombre de victimes, ce qui explique en partie la recrudescence de cyberattaques observée d'une année à l'autre.

Le maillon faible

Démonstration à l'appui, son collègue Sylvain Luiset a réalisé une attaque fictive sur une banque. Le hameçonnage (phishing) reste le canal d'entrée le plus courant des pirates. La méthode consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance, telle qu'une administration, dans le but de lui soutirer des informations personnelles, comme un numéro de carte de crédit.

Déjà rodé à la parade, le secteur financier a notamment mis en place des campagnes antiphishing pour promouvoir les bons réflexes auprès des collaborateurs ou des clients. Car nombre de vols de données résultent d'une négligence humaine ou dudit «social engineering», à savoir l'arsenal de techniques visant à influencer le comportement des destinataires pour leur soutirer des données confidentielles.

«Le maillon le plus faible de la chaîne était, et reste, l'être humain», insiste Matthias Bossardt. Or les stratégies de cyberdéfense intègrent trop peu le comportement humain. Deux firmes sur trois ne travaillent pas systématiquement à des mesures conviviales et faciles pour l'utilisateur, déplore le cabinet.

Retard à combler

Heureusement, à l'ère d'attaques massives comme celle du virus WannaCry survenue courant mai dans 150 pays, la prise en compte des risques a aussi progressé. Plus de la moitié des répondants disent mieux comprendre «la motivation, la stratégie et le mode de procédure des délinquants». Qui plus est, 44% étaient en mesure de mieux prévoir les attaques.

Mais la Suisse a encore un important retard à combler, insiste KPMG. En effet, plus de la moitié des répondants déclarent manquer d'une vue d'ensemble des éléments utilisés dans leur firme et interconnectés au sein de l'Internet des objets.

Le recours accru à l'intelligence artificielle pour automatiser des processus complexes a par ailleurs démultiplié les risques en Suisse aussi. Or seulement un sondé sur quatre déclare en avoir conscience, s'inquiète KPMG.

ats