Diriger en toute sécurité

L'étude nationale PME Cybersécurité 2025 dresse un tableau paradoxal : les entreprises interrogées reconnaissent certes la nécessité d'agir de toute urgence, mais il existe un fossé entre cette prise de conscience et la mise en œuvre. Seules 40 % des entreprises prévoient de renforcer leurs mesures de cybersécurité au cours des trois prochaines années, contre 48 % en 2024. Plus de la moitié (52 %) des PME interrogées se sentent en sécurité ou très en sécurité, mais seulement 42 % se considèrent bien préparées à une attaque. La cybercriminalité est considérée comme un problème grave (88 %), mais pas comme un problème qui les concerne personnellement.

Ces dernières années, nous, experts en sécurité, avons régulièrement confronté la plupart des dirigeants à des chiffres et des statistiques sur l'augmentation de la cybercriminalité, les analyses de risques ou les menaces de pertes financières. Manifestement, cela n'a pas été convaincant. Pourquoi ? Nous avons supposé que les destinataires disposaient de compétences numériques suffisantes et que l'argument « plus de sécurité » suffisait à les motiver pour investir.

Déficit de compétences en matière de numérisation

Nous, les spécialistes de la sécurité, mettons rarement l'accent sur la numérisation, qui est pourtant un grand moteur de l'innovation, et montrons pourquoi la sécurité est importante dans ce domaine. De nombreuses personnes, notamment des cadres, qui n'ont pas reçu de formation informatique, ne disposent pas des compétences numériques nécessaires pour intégrer systématiquement la cybersécurité dans leur travail quotidien et leur stratégie commerciale. Il est donc d'autant plus difficile de considérer la sécurité non seulement comme un facteur de coût, mais aussi comme un moteur potentiel d'innovation, d'efficacité et de compétitivité.

La sécurité comme avantage concurrentiel : les PME dans la chaîne d'approvisionnement

La cybersécurité est depuis longtemps un facteur déterminant pour les nouvelles activités dans les chaînes de valeur interconnectées. Les grandes entreprises accordent de plus en plus d'importance à la fiabilité de leurs partenaires et exigent des normes compréhensibles ou des preuves concrètes. Les PME qui investissent de manière visible dans la sécurité ont donc de meilleures chances de remporter des contrats, de réussir les audits sans encombre et de se positionner comme des partenaires fiables. La sécurité devient ainsi un argument de vente et renforce directement la compétitivité.

Prendre la cybersécurité plus au sérieux...

La cybersécurité n'est plus depuis longtemps une question purement informatique ; c'est une responsabilité qui incombe à la direction. Les cadres dirigeants n'ont pas besoin de devenir des experts en la matière, mais ils ont la responsabilité de s'informer, de prendre des décisions en toute connaissance de cause et de montrer l'exemple. Ils doivent impérativement être impliqués. C'est ce que confirme également l'étude « KMU Cybersicherheit 2025 » (Cybersécurité des PME en 2025) : les prestataires informatiques interrogés recommandent en premier lieu à leurs clients de prendre la cybersécurité plus au sérieux (36 %). La formation du personnel arrive en deuxième position (26 %), suivie seulement ensuite par les mesures techniques (15 %).

Les cadres dirigeants sont confrontés à de nombreux défis majeurs. La cybersécurité n'est que l'un d'entre eux. Ils doivent comprendre le rôle qu'ils jouent eux-mêmes et la manière dont ils peuvent agir concrètement.

... et agir activement

Le niveau de cybersécurité d'une organisation dépend au moins autant des mesures organisationnelles que des mesures techniques. Les cadres dirigeants doivent donc contribuer activement à la cybersécurité. Ils ont en effet la plus grande influence sur l'efficacité des mesures de protection organisationnelles et donc sur le quotidien de l'entreprise.

Ce sont les cadres qui créent les conditions générales qui encouragent, simplifient et récompensent les comportements sûrs. On attend des collaborateurs qu'ils adoptent des comportements sûrs, mais ceux-ci sont rarement pris en compte dans les objectifs de performance ou dans le temps de travail. Il est possible de simplifier les processus de signalement, de donner plus de temps aux collaborateurs pour se former et d'intégrer la cybersécurité aux réunions d'équipe. Les cadres peuvent prendre en compte les besoins des employés lors de l'élaboration des stratégies de cybersécurité.

Conclusion

Nous devons nous concentrer sur les cadres en tant qu'êtres humains afin de promouvoir la cybersécurité au niveau national et de rendre les PME suisses plus sûres. La décision en faveur d'une cybersécurité accrue doit offrir plus que des déclarations abstraites sur la réduction des risques et une protection accrue. Nous devons leur faire comprendre la valeur ajoutée qui va au-delà et leur présenter des options d'action concrètes. Nous devons leur donner les moyens de considérer la cybersécurité comme un élément stratégique de la numérisation et de leur compétitivité, et de prendre conscience de leur rôle important dans la mise en œuvre de mesures organisationnelles.