Vol de données : les entreprises suisses sont-elles bien armées ?

Le KOF a étudié les activités d’innovation et le degré de numérisation de l’économie suisse entre 2014 et 2016 à la demande du Secrétariat d’État à la formation, à la recherche et à l’innovation (SEFRI). Il est apparu que les entreprises investissent de plus en plus dans le domaine des technologies d’information et de communication (TIC), en particulier dans l’optique de la sécurité. Les auteurs de l’étude ont constaté que les technologies en matière de sécurité jouent un rôle essentiel dans la diffusion de certaines TIC (cf. G 8). Plus de 60% des entreprises de Suisse ayant plus de cinq salariés utilisent des supports de données externes (« offsite data backup ») afin de sécuriser leurs données, plus de la moitié d’entre elles recourent à des « secure servers » et 40% d’entre elles enregistrent régulièrement les activités sur le réseau. 

Les logiciels de cryptage des données (35%), les systèmes d’authentification (30%), tels que la signature numérique, p. ex., les codes PIN, les méthodes biométriques ou les « smart cards » ainsi que les « intrusion detection systems » (IDS) (20%), sont également des technologies importantes en matière de sécurité. Mais leur diffusion est parfois nettement plus limitée. Cela s’explique d’abord par des possibilités d’application moindres, notamment dans les petites entreprises, et ensuite par des coûts d’introduction plus élevés, dans lesquels souvent seules les grandes entreprises peuvent investir.

En vérité, en comparant les schémas de diffusion par rapport à la taille des entreprises, les auteurs ont constaté qu’à l’exception de la sécurisation externe des données, toutes les technologies étaient beaucoup plus répandues dans les grandes entreprises que dans les petites et moyennes entreprises. Les différences sont particulièrement marquées en ce qui concerne les logiciels IDS et les systèmes d’authentification, mais elles sont mineures pour ce qui est de la sécurisation externe des données. Cela ne permet toutefois pas de conclure que les données sont mieux protégées dans les grandes entreprises. Par contre, les avantages de l’automatisation y prédominent et justifient des investissements majeurs.

Grandes différences par rapport à la taille, différences sectorielles mineures

Sur le plan sectoriel, les schémas de diffusion des technologies de sécurité présentent des différences relativement mineures (cf. G 9). Seul le secteur du bâtiment y fait exception, car toutes les technologies considérées y sont moins répandues. Tandis que les technologies de sécurisation externe des données sont fréquentes dans l’industrie et dans le secteur tertiaire, les activités menées sur le réseau sont davantage enregistrées par les entreprises de services. De même, les technologies de cryptage des données sont plus fréquentes chez les prestataires de services que dans les entreprises industrielles. Les « secure servers » sont en revanche les plus fréquents dans les entreprises industrielles.

Le schéma de diffusion temporelle des technologies de sécurité présente une nette tendance : depuis le lancement de cette enquête en 2004, la diffusion de toutes les technologies s’est accrue. À l’heure actuelle, la sécurisation externe des données, les logiciels de cryptage des données et les logiciels IDS sont les mieux établis.

Le schéma de diffusion temporelle des technologies de sécurité présente une nette tendance : depuis le lancement de cette enquête en 2004, la diffusion de toutes les technologies s’est accrue. À l’heure actuelle, la sécurisation externe des données, les logiciels de cryptage des données et les logiciels IDS sont les mieux établis.

Les stratégies sécuritaires…

Les entreprises accordent de l’attention à la sécurité de leurs données non seulement d’un point de vue technologique ; une entreprise participante sur quatre avait également défini une stratégie sécuritaire explicite pour l’utilisation interne des TIC. Cette démarche est toutefois nettement moins fréquente dans le secteur du bâtiment que dans l’industrie et les services. Plus de 70% des grandes entreprises présentent ce genre de stratégie. C’est quand même également le cas d’environ 50% des moyennes entreprises.

Toutes les entreprises dotées d’une stratégie sécuritaire n’ont pas forcément un responsable de la cyber-sécurité. C’est le cas dans 20% des entreprises interrogées (une grande entreprise sur deux et environ un tiers des moyennes entreprises).

Cette fonction est assurée par une personne dans la plupart des entreprises, et même par deux personnes dans environ 15% des entreprises. Ce nombre n’exprime toutefois pas seulement l’importance de ce genre d’infrastructure pour une entreprise, mais il dépend aussi de la taille de l’entreprise.

… n’empêchent pas les problèmes de sécurité, surtout dans les grandes entreprises

En dépit du fait que de nombreuses entreprises appliquent des stratégies sécuritaires explicites et que des technologies de sécurité soient utilisées dans une mesure croissante, quelques problèmes de sécurité ont été observés durant la période 2014-2016, lesquels ont occasionné des coûts de réparation. Environ 40% des entreprises ont fait état de problèmes de sécurité tels qu’un virus dans l’infrastructure TIC ou un cheval de Troie. Du point de vue de la fréquence de ces incidents, le secteur industriel ne se distingue guère du bâtiment et des services. Les différences sont toutefois marquées par rapport à la taille de l’entreprise : environ 70% des grandes entreprises et environ 50% des moyennes entreprises ont fait état de problèmes de sécurité, contre à peine 40% dans les petites entreprises.

Ces incidents ont occasionné des coûts à plusieurs égards : il en a résulté des pertes de gain, si, par exemple, des commandes n’ont pu être exécutées dans les délais, si des données essentielles n’ont pu être récupérées ou si les entreprises ont perdu des clients. Un peu plus de 10% de toutes les entreprises et environ un quart des entreprises concernées ont subi une perte de gain moyenne ou lourde en raison de problèmes de sécurité. Dans le secteur du bâtiment en particulier, la part de ces entreprises est relativement élevée (près de 20 %). Aucune différence notable n’a été constatée dans l’industrie et le secteur tertiaire. La perte de gain est nettement plus fréquente dans les petites entreprises que dans les grandes et moyennes entreprises.

De plus, les entreprises ont dû investir dans la réparation des dégâts. Chez environ 17% d’entre elles, le coût s’est avéré moyen à très élevé (cf. G 10). Dans les grandes entreprises, le coût de la réparation des dégâts était plus souvent plus élevé que dans les petites et moyennes entreprises.