- 71 % des responsables suisses de la cybersécurité se déclarent satisfaits de la manière dont leur entreprise gère le thème de la cybersécurité.
- L'année dernière, les entreprises suisses ont enregistré en moyenne 14 cyberincidents, contre 44 pour les entreprises du monde entier.
- Pour plus de 70% des entreprises suisses, les plus grandes cybermenaces sont l'intelligence artificielle, l'apprentissage automatique et le cloud.
- Les entreprises suisses misent sur des technologies éprouvées pour la cyberdéfense, mais la moitié d'entre elles affirment que les mesures défensives ne s'adaptent pas assez rapidement aux nouvelles menaces.
Zurich, le 15 novembre 2023 - Cette année encore, le cabinet d'audit et de conseil EY a mené en Suisse une enquête sur la cybersécurité auprès des entreprises suisses. Une nette majorité de 71% des Chief Information Security Officers (CISO) et des Chief Information Officers (CIO) interrogés sont satisfaits de la manière dont leur entreprise gère les questions de cybersécurité. C'est beaucoup plus que dans la comparaison mondiale : seules 42% des 500 entreprises interrogées dans le cadre de l'étude mondiale EY sur la cybersécurité sont satisfaites de la gestion des questions de cybersécurité dans leur organisation. "L'écart parfois important entre les résultats globaux et les résultats suisses s'explique notamment par le secteur d'activité des entreprises participantes et les fonctions des personnes interrogées. En Suisse, la majorité des entreprises participantes sont issues du secteur financier et seuls des CISO et des CIO ont participé à l'étude suisse. Le secteur financier présente en moyenne une bien meilleure maturité en matière de cybersécurité que de nombreuses entreprises d'autres secteurs", explique Tom Schmidt, EMEIA Financial Services Cybersecurity Competency Leader chez EY en Suisse.
Dans le monde entier, les entreprises ont constaté une augmentation d'environ 75% des cyberattaques au cours des cinq dernières années. Alors que les entreprises du monde entier ont enregistré un nombre moyen de 44 cyberincidents en 2022, la Suisse n'en compte que 14. En ce qui concerne le temps de réaction, les entreprises suisses s'en sortent très bien : selon l'enquête, il leur faut moins de 5 mois pour réagir de manière adéquate aux cyberincidents, alors que 76% des entreprises mondiales ont besoin de plus de 6 mois.
Les entreprises suisses sont également plus optimistes quant aux développements futurs que les entreprises mondiales : 57% des CISO et CIO suisses interrogés indiquent que leur entreprise est bien préparée aux futures cybermenaces. Au niveau mondial, 46% des responsables interrogés le pensent.
Telles sont les conclusions de l'étude EY Swiss Cybersecurity Leadership Insights Study, pour laquelle les CIO et CISO de 28 entreprises suisses sélectionnées ont été interrogés. Plus de la moitié des entreprises suisses interrogées appartiennent au secteur de la banque et de l'assurance. Pour l'étude globale, les CISO et autres dirigeants de 500 grandes entreprises de 25 pays avec un chiffre d'affaires de plus d'un milliard de dollars US ont été interrogés.
Menaces et défis du point de vue suisse
Plus de 70% des entreprises suisses estiment que les plus grandes cybermenaces pour les cinq prochaines années se situent principalement dans les domaines de l'intelligence artificielle, du machi-ne learning et du cloud. Pour les entreprises suisses elles-mêmes, les plus grands défis à relever face aux cybermenaces sont les ressources et l'écart de compétences. Pour combler ce fossé, les entreprises adoptent les stratégies suivantes : formation/perfectionnement du personnel de cybersécurité existant ; standardisation et automatisation des processus de sécurité pour réduire les besoins en personnel ; priorité à la rétention et au recrutement d'un personnel de cybersécurité issu de milieux diversifiés.
Certes, 46 % des RSSI et des DSI suisses interrogés indiquent que leur entreprise adopte une approche adaptative plutôt que traditionnelle pour combattre et prévenir les menaces et les dangers cybernétiques. Pour 75% d'entre eux, les principaux défis sont la surface d'attaque trop importante et l'équilibre entre la sécurité et la vitesse d'innovation. Au niveau mondial, ce chiffre est de 52 %.
La tension entre sécurité et vitesse se manifeste également dans les mesures défensives des entreprises : 50 % des RSSI et des DSI indiquent que leurs mesures défensives ne s'adaptent pas assez rapidement aux menaces qui évoluent rapidement. Cela correspond à l'affirmation selon laquelle seuls 43 % des personnes interrogées se considèrent comme des "early adopters". Les entreprises suisses misent plutôt sur des technologies et des solutions testées en profondeur. Dans cette optique, les participants à l'enquête mondiale se voient beaucoup plus clairement que ceux qui utilisent les technologies les plus récentes - 65 pour cent se considèrent comme des "early adopters".
"En comparaison mondiale, nous constatons que les entreprises suisses sont plus réticentes à introduire de nouvelles technologies telles que l'intelligence artificielle. Pourtant, les mesures de sécurité automatisées représentent un potentiel supplémentaire pour les entreprises, leur permettant de réagir plus rapidement aux menaces", explique Roman Haltinner, EMEIA Europe West Cybersecurity Competency Leader chez EY en Suisse.
Selon les déclarations des personnes interrogées, le comportement adéquat face aux cyber-risques n'est pas encore tout à fait entré dans la culture des entreprises suisses : Environ 60% des responsables techniques interrogés indiquent qu'ils constatent un manque de respect des bonnes pratiques de cybersécurité en dehors des départements informatiques et que la cybersécurité est perçue comme un problème purement informatique. "Il est important qu'un comportement correct en matière de cyber-risques soit vécu dans toute l'entreprise et devienne un élément central de la culture d'entreprise", explique Tom Schmidt.
Dépenses de cybersécurité des entreprises suisses
Les budgets consacrés à l'informatique et à la cybersécurité par les entreprises suisses interrogées restent pour la plupart au même niveau que l'année précédente (2022) : en 2022 et 2023, 14% du chiffre d'affaires annuel ont été consacrés à l'informatique. Sur ces budgets informatiques, 6 % (2022) et 7 % (2023) ont été consacrés à la cybersécurité.
39 % des entreprises interrogées consacrent entre un et 4,9 millions de francs suisses à leur cybersécurité. Pour 25 % des entreprises, ce budget se situe entre 10 et 49 millions de francs suisses. 22 % investissent moins d'un million de francs suisses et 4 % dépensent plus de 50 millions de francs suisses pour leur cybersécurité.
Informations complémentaires sur le sujet :
Cybersecurity | Insights, case studies & services | EY – Switzerland
3in3 | EY – Switzerland
