Les PME, cibles privilégiées des cybercriminels ?
Cet article est paru en version raccourcie dans le dossier spécial "IT & Digital" de BILAN publié le 27 août 2025. Nous vous proposons la version intégrale ci-dessous.
Entretien avec Luc Porchon, CISO de Globaz
Face à la recrudescence des cyberattaques en Suisse, les PME se retrouvent souvent désemparées. Entre un langage trop technique, des offres standardisées peu lisibles et un manque de ressources en interne, elles peinent à cerner les véritables risques et à définir des priorités. Notre Chief Information Security Officer vous éclaire sur les premiers pas à réaliser.
Selon vous, quelle est la première chose qu'une PME devrait comprendre à propos de la cybersécurité aujourd’hui ?
La PME d’aujourd’hui n’est pas un élément isolé dans un environnement «cyber-hostile». Au même titre quelle sait naviguer dans son paysage économique, elle apprend maintenant à naviguer dans celui de la cybersécurité, ou cyber-insécurité. C’est maintenant une priorité absolue en Suisse devant ce paysage de risques qui a vu en 2024, une augmentation notable des cybermenaces. Selon l'Office fédéral de la cybersécurité (OFCS)[1], les incidents de cybersécurité ont presque doublé par rapport à l'année précédente, avec 34 789 incidents enregistrés durant les six premiers mois de 2024. Parmi ces incidents, les fraudes à la billetterie et les tentatives d'escroquerie ont augmenté de manière significative. De plus, le phishing reste une menace majeure, avec 975 309 signalements et 20 872 sites confirmés en 2024. Les faux appels au nom des autorités ont triplé, passant de 7 000 à 22 000 signalements en un an.
Cette hausse des cyberattaques doit s’accompagner par des efforts accrus de la part des autorités et des entreprises pour renforcer la cybersécurité. Une réponse proactive des entreprises, et un renforcement des réglementations ainsi que la coopération internationale sont des impératifs. Les efforts de sensibilisation et d'investissement en cybersécurité continuent de croître pour faire face à ces défis.
En quoi les besoins d'une PME diffèrent-ils de ceux d'une grande entreprise en matière de cybersécurité ?
Tout d’abord il n’y a pas de dichotomie fondamentale entre PME et grands groupes, car les risques cyber du premier peuvent influencer le second de bien des manières. Les petites entreprises sont souvent des fournisseurs critiques. Une cyberattaque réussie peut perturber la chaîne d'approvisionnement d'une multi-nationale, entraînant des retards de production et des pertes financières. Il arrive aussi que la cible soit un acteur majeur mais que les cybercriminels utilisent une PME pour l’atteindre, surtout si leurs infrastructures réseaux sont interconnectées.
On peut cependant, considérer que les besoins en matière de cybersécurité diffèrent entre les PME et les grandes entreprises. Tout d’abord des budgets plus limités ce qui signifie qu'elles peuvent ne pas avoir les moyens de recruter des experts en cybersécurité à temps plein ou d'investir dans des solutions de sécurité avancées. Elles ont souvent des infrastructures IT moins complexes, ce qui peut, d’un côté simplifier la gestion de la cybersécurité, mais de l’autre cela peut aussi signifier que les systèmes de sécurité sont moins sophistiqués. Souvent plus vulnérables aux attaques de phishing et aux ransomwares, les PME sont moins familières avec les bonnes pratiques en matière de cybersécurité et elles ont des difficultés à s’y conformer. Elles ont moins de ressources pour la sensibilisation et la formation des employés afin d’éviter les erreurs humaines conduisant à des failles de sécurité. Elles font alors le choix logique de recourir à des ressources externes, comme des consultants en cybersécurité ou des services de sécurité gérés.
Les grandes entreprises, elles, disposent souvent de budgets plus importants pour embaucher des équipes dédiées et investir dans des technologies de pointe pour protéger leurs réseaux et leurs données. Elles ont des infrastructures IT plus complexes, avec de nombreux systèmes interconnectés, ce qui peut rendre la gestion de la cybersécurité plus difficile mais aussi plus complète et robuste.
Les grandes entreprises sont souvent ciblées pour des attaques plus sophistiquées, comme les attaques par déni de service (DDoS) ou les attaques avancées persistantes[2] (APT). Elles peuvent également être ciblées pour des vols de données sensibles à grande échelle. Mais, elles sont aussi plus familières avec les réglementations en matière de cybersécurité et ont les ressources nécessaires pour se conformer à ces réglementations quelques fois plus strictes en raison de leur taille et de leur impact sur l'économie.
Dans le choix d’un prestataire IT, à quoi une PME doit-elle faire attention ?
Tout d'abord, il est essentiel de vérifier l'expérience et l'expertise du prestataire dans le domaine de la cybersécurité et des technologies de l'information. Les références et les études de cas peuvent aider à évaluer la qualité des services fournis.
Ensuite, il convient d'examiner la réputation du prestataire en consultant les avis des clients et les témoignages. La gamme de services offerts par le prestataire doit également être vérifiée, notamment la gestion des infrastructures IT, la sécurité des réseaux, la sauvegarde des données, et la gestion des incidents de sécurité.
A titre personnel, j’ai souvent utilisé des plateformes d’évaluation de la réputation en cybersécurité des entreprises, comme par exemple SecurityScorecard[3] ou autres[4], qui peuvent aider une PME dans le choix d'un prestataire IT en fournissant des évaluations sécuritaires, des notes de sécurité, une visibilité transparente, une surveillance continue, une identification des risques, une conformité aux réglementations, un benchmarking, et des rapports détaillés. Ces fonctionnalités, quelques fois gratuites, permettent aux PME de prendre des décisions éclairées et de choisir un prestataire IT qui répond à leurs besoins en matière de sécurité et de conformité.
Le support technique et la disponibilité sont également des critères importants. Un support 24/7 et des services de gestion des incidents sont essentiels pour assurer la continuité des opérations.
Enfin, privilégier un prestataire local peut offrir un support plus rapide et plus personnalisé. Considérer les options d'infogérance totale ou partielle peut permettre à la PME de se concentrer sur son cœur de métier en délégant la gestion de l'infrastructure informatique à un prestataire spécialisé.
En conclusion, choisir le bon prestataire IT est une décision stratégique. En prenant en compte ces critères, les entreprises peuvent s'assurer de sélectionner un partenaire qui répondra à leurs besoins spécifiques et qui les accompagnera dans leur croissance et leur transformation numérique. Prenez le temps de bien choisir pour assurer la performance et la sécurité de votre entreprise !
Quelles sont, selon vous, les 3 mesures de base qu’une PME devrait absolument mettre en œuvre ?
Les PME Suisses doivent à la fois se protéger contre les cyberattaques, réduire les risques liés aux tiers et garantir la conformité aux réglementations.
Tout d'abord, par la mise en place de mesures de cybersécurité robustes. Cruciale pour protéger les données sensibles et les systèmes informatiques. Cela inclut la mise en oeuvre, la surveillance et l’administration de solutions de sécurité comme les pare-feu, les antivirus, et les systèmes de détection des intrusions, ainsi que la sensibilisation des employés aux bonnes pratiques de sécurité.
Ensuite, ne pas négliger la gestion des risques liés aux tiers, tels que les fournisseurs et les partenaires commerciaux. Utiliser des plateformes comme SecurityScorecard pour évaluer la posture de sécurité des prestataires IT peut aider à réduire les vulnérabilités et à protéger l'entreprise contre les cyberattaques provenant de sources externes.
Enfin, assurer la conformité aux réglementations locales (LPD) et/ou internationales (DORA, NIS2, PCI-DSS, etc.) en matière de protection des données et de cybersécurité est crucial. Cela inclut la mise en place de politiques et de procédures pour garantir la conformité et la protection des données, évitant ainsi les sanctions, et protégeant la réputation de l'entreprise.
Que pensez-vous des outils tout-en-un, souvent proposés aux PME avec des promesses “clé en main” ?
Il s’agit ici de ce que l’on appelle la «plateformisation» des services de cybersécurité. Ces outils tout-en-un, souvent proposés aux PME, présentent plusieurs avantages.
Ces plateformes sont souvent conçus pour être faciles à utiliser et à installer, ce qui les rend attractifs pour les PME qui n'ont pas toujours les ressources pour gérer des solutions complexes. De plus, elles peuvent être plus économiques que l'achat de plusieurs solutions distinctes, car elles regroupent plusieurs fonctionnalités en un seul produit. Enfin, ces outils tout-en-un offrent une intégration simplifiée des différentes fonctionnalités, ce qui peut améliorer l'efficacité et réduire les problèmes de compatibilité.
Cependant, et malgré une gamme de fonctionnalités importantes, elles peuvent ne pas être aussi performantes ou spécialisées que des solutions dédiées. De plus, ces outils peuvent être moins flexibles et moins personnalisables que des solutions individuelles, ce qui peut limiter leur capacité à répondre aux besoins spécifiques d'une entreprise. Enfin, en utilisant un outil tout-en-un, une entreprise peut devenir dépendante d'un seul fournisseur pour plusieurs fonctions critiques, ce qui peut poser des risques en cas de problèmes avec le fournisseur ou le produit.
En fin de compte, le choix entre un outil tout-en-un et des solutions individuelles dépend des besoins et des priorités de chaque entreprise. Les PME doivent évaluer leurs besoins spécifiques, leur budget et leur tolérance au risque pour choisir la solution qui convient le mieux à leur activité. Il peut être utile de consulter des experts ou des consultants pour obtenir des conseils personnalisés.
Un dernier conseil pour une PME qui veut commencer simplement mais efficacement ?
Pour une PME qui veut commencer simplement mais efficacement, il est essentiel de suivre quelques étapes clés.
Tout d'abord, évaluez les besoins spécifiques de votre entreprise en matière de gestion informatique et de cybersécurité. Identifiez les fonctionnalités essentielles nécessaires pour répondre à ces besoins.
Ensuite, choisissez des outils qui répondent à ces besoins et qui sont faciles à utiliser et à installer. Privilégiez les outils qui offrent une bonne intégration et une bonne compatibilité avec les systèmes existants.
Une fois les outils choisis, formez et sensibilisez vos employés aux bonnes pratiques de sécurité et à l'utilisation des outils. Mettez en place des politiques et des procédures pour garantir la sécurité des données et la conformité aux réglementations.
Enfin, mettez en place des mécanismes de surveillance continue pour détecter et répondre rapidement aux incidents de sécurité. Maintenez vos outils et systèmes à jour pour protéger contre les nouvelles menaces et vulnérabilités.
En suivant ces étapes, une PME peut commencer simplement mais efficacement à gérer sa sécurité informatique. Maintenant, l’informatique n’est souvent qu’une activité support de l’entreprise, la sous-traiter peut être LA solution à un prestataire dont vous aurez évalué l’efficacité. Pour terminer, l’expérience montre qu’en fonction de vos risques propres, et de la complexité de votre infrastructure vous pouvez consacrer entre 10 % et 15 % de votre budget IT à la cybersécurité.
Luc Porchon
CISO chez Globaz depuis avril 2022
Après un BTS en Informatique industrielle en 1989, Luc Porchon évolue pendant une dizaine d'années dans les télécommunications. Il poursuit ensuite sa carrière dans le domaine bancaire pour devenir, en 2008, expert sécurité dans le domaine monétique.
En 2011, il obtient le brevet "Certified Information System Security Professional", une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d'information et exerce pendant plus de 6 ans le poste de responsable sécurité des systèmes d'information pour un grand groupe français. Il enchaine ensuite avec le poste de responsable de la protection des données et comme consultant senior en cybersécurité.
