Résumé
L’économie suisse est plus que jamais aux prises avec la problématique des cyberattaques. Une grande entreprise sur deux a déjà été victime d’une cyberattaque. Dans de nombreux cas, ces incidents se soldent par une interruption d’exploitation. La 14e édition du swissVR Monitor révèle que, malgré la prise de conscience accrue des risques par les entreprises, nombreuses sont celles qui ne disposent pas d’une cyberstratégie aux contours clairs. Les cas d’incident majeur ne font que rarement l’objet d’exercices de simulation, et le reporting de la direction au conseil d’administration doit vraiment être améliorée.
À propos de l’enquête
Réalisée par l’association swissVR en collaboration avec Deloitte et la Haute école de Lucerne, l’enquête swissVR Monitor a pour objectif de recueillir, tous les six mois, l’opinion des membres de conseils d’administration suisses sur les perspectives conjoncturelles, sectorielles et commerciales ainsi que sur des questions de gouvernance d’entreprise. L’étude permet par ailleurs au grand public de découvrir le point de vue d’administratrices et d’administrateurs sur la manière dont ils/elles perçoivent leur rôle et sur la situation économique actuelle. Chaque numéro se focalise sur une thématique centrale et présente, dans ce cadre, des éclairages d’experts recueillis sous forme d’interviews. Fondée sur un sondage réalisé auprès de 400 membres de conseils d’administration, la présente édition du swissVR Monitor dresse un tableau fidèle des points de vue des conseils d’administration en Suisse et des défis qui les attendent.
Points-clés de l’enquête
Perspectives
Des perspectives économiques légèrement plus positives qu’en début d’année
Les membres de conseils d’administration interrogés se montrent, dans l’ensemble, légèrement plus optimistes concernant les perspectives conjoncturelles, sectorielles et commerciales pour les douze prochains mois par rapport au dernier numéro du swissVR Monitor paru en début d’année. Pour chacune des catégories de perspectives (conjoncturelles, sectorielles et commerciales), davantage de sondés s’attendent à une évolution positive plutôt que négative.
Cyberattaques
Les cyberattaques peuvent avoir de graves répercussions sur les entreprises
Les personnes interrogées, dont l’entreprise a été victime d’une cyberattaque (au moins), font état de répercussions parfois lourdes sur les processus opérationnels. La plupart du temps, les cyberattaques causent une interruption de l’activité de l’entreprise. Parmi les autres conséquences possibles, figurent la fuite de données et le dysfonctionnement de produits ou de services. En comparaison, les attaques consécutives sur les clients ou les fuites d’actifs financiers sont plus rares.
Cyberrésilience
La thématique de la cyberrésilience a pris beaucoup d’importance
La quasi-totalité des membres de conseils d’administration interrogés estime que les questions de cyberrésilience ont pris davantage d’importance ces trois dernières années. Une majorité d’entre eux parle même d’une forte augmentation, et cela est d’autant plus vrai pour les administrateurs de grandes entreprises que pour ceux des petites. L’importance de la cyberrésilience n’a pas changé pour une petite minorité des personnes interrogées. Aucun membre de conseil d’administration a constaté de diminution.
Assurances contre les cyberrisques
Assurances contre les cyberrisques : un tableau contrasté
Malgré l’importance accrue de la cyberrésilience et les conséquences parfois graves des cyberattaques, à peine la moitié des entreprises a souscrit une assurance contre les cyberrisques. Les entreprises du secteur financier, de l’industrie manufacturière et du secteur de la chimie ainsi que les entreprises du bâtiment s’assurent plus souvent que la moyenne. Sur ce plan, la taille de l’entreprise n’a que peu d’importance.
Comités
Des comités présents surtout dans les grandes entreprises et dans le secteur de la finance
Près de la moitié des conseils d’administration créent des comités dédiés à différentes thématiques. Alors que dans les grandes
entreprises, trois quarts des CA disent avoir établi ce type de
comité ; dans les petites entreprises, seul un cinquième des administrateurs en ont créé. Et c’est principalement dans le secteur de la finance que des comités sont établis : les trois quarts
des CA d’entreprises de la finance possèdent au moins un comité. Dans la plupart des autres secteurs, moins de la moitié des
conseils d’administration dispose d’un comité. Cependant, certains membres se voient confier des domaines de spécialisation
ou des questions spécifiques dans de nombreux CA.
Cyberreporting
Le cyberreporting régulier au conseil d’administration peut être amélioré
Selon les personnes interrogées, un peu plus de la moitié des conseils d’administration reçoivent des rapports de la part de la direction sur les cyberincidents dans l’entreprise ou sur les besoins d’action/d’investissement en matière de cyberrésilience. Dans un peu moins de la moitié des cas, un rapport est établi sur le niveau général de menace ou sur les mesures de cyberrésilience. Seul un tiers environ des conseils d’administration est régulièrement informé par la direction sur les cyberrisques majeurs ou sur la cyberstratégie/le cyberprogramme de protection
Discours
Présidente du comité de nomination et de rémunération de la Banque Valiant et membre des conseils d’administration de la Bâloise et de l’APG|SGA
Maya Bundt
« Il est important que le conseil d’administration ne circonscrive pas uniquement les cyberrisques ou les risques numériques au domaine informatique, mais qu’il les considère comme des sujets de premier ordre sur le plan stratégique et pour l’entreprise dans son ensemble. En effet, les grandes décisions stratégiques ont quasiment toujours un impact sur la cyberempreinte de l’entreprise. »
Délégué fédéral à la cybersécurité et directeur du Centre national pour la cybersécurité (NCSC) ; futur directeur de l’Office fédéral de la cybersécurité à compter du 1er janvier 2024.
Florian Schütz
« En principe, toutes les entreprises sont menacées, quels que soient leur taille et leur secteur d’activité. Toutefois, de nombreuses PME sont confrontées au problème suivant : en raison de leurs moyens financiers et humains restreints, le savoir-faire et l’infrastructure nécessaires en matière de cybersécurité sont très limités, voire inexistants. »
Présidente du comité d’audit de la Banque cantonale de Glaris, Membre du conseil d’administration d’Apiax, Membre du comité d'EXPERTsuisse et Directrice financière de Structuul AG
Sonja Stirnimann
« L’univers « cyber » a au moins 40 ans. Par rapport à d’autres risques opérationnels, c’est encore un « terrain inconnu » pour de nombreux décideurs. Ce que je constate, c’est que ce sujet tabou actuel perd son caractère effrayant lorsqu’il peut être discuté dans un cadre sécurisé avec des personnes ayant la même vision à l’échelle du conseil d’administration et de la direction. »
Michael Grampp
Research Director & Chief Economist
mgrampp@deloitte.ch +41 58 279 6817 Voir le profil
