La question revient à chaque conseil d’administration de PME en Suisse romande : faut-il vraiment investir dans une supervision IT permanente, ou peut-on continuer à gérer les incidents au coup par coup ? Les chiffres publiés ces dix-huit derniers mois ne laissent plus beaucoup de marge au débat.
Le vrai prix d’une heure d’indisponibilité
Pour une PME de 20 collaborateurs avec un coût horaire chargé moyen de 80 CHF, chaque heure d’interruption informatique représente immédiatement 1 600 CHF de salaires versés sans contrepartie productive. Une panne majeure dans une PME suisse coûte en moyenne entre 5 000 et 15 000 CHF, en additionnant le temps d’arrêt, l’intervention technique d’urgence et la récupération des données.
S’y ajoute le manque à gagner direct. Au-delà de quatre heures de panne critique, la perte horaire est généralement estimée entre 2% et 10% du chiffre d’affaires journalier. Pour une entreprise réalisant 5 millions de CHF de CA annuel, cela représente plusieurs milliers de francs envolés en une demi-journée.
Les coûts indirects, eux, sont plus difficiles à chiffrer mais souvent plus lourds : clients perdus, équipes démotivées, image dégradée. Une statistique a le mérite de la clarté : 40% des PME victimes d’une panne majeure sans plan de continuité cessent leur activité dans les cinq ans qui suivent.
Le contexte suisse s’est nettement durci
L’Office fédéral de la cybersécurité (OFCS) a recensé environ 65 000 cyberincidents en 2025, contre 63 000 en 2024 et près de 33 000 en 2023. Les messages de phishing détectés ont presque doublé sur un an, passant de moins de 500 000 à plus de 975 000.
L’indice Cisco Cybersecurity Readiness Index est tout aussi parlant : près d’une entreprise suisse sur deux a été visée par une cyberattaque en 2024. Et les PME sont devenues une cible prioritaire, précisément parce qu’elles offrent un meilleur rapport effort/butin que les grands groupes mieux protégés.
L’étude « PME Cybersécurité 2025 », menée par digitalswitzerland, La Mobilière, l’Alliance Sécurité Digitale Suisse et la FHNW auprès de 515 PME suisses, livre un constat inquiétant : seules 42% des PME se sentent bien préparées face à une attaque, contre 55% l’année précédente. Plus surprenant, 28% des dirigeants déclarent que la cybersécurité n’est plus une priorité, contre 18% un an plus tôt. La volonté d’investir suit la même pente : 40% des PME prévoient d’augmenter leurs mesures de sécurité dans les 1 à 3 ans, contre 48% en 2024.
Sur le terrain, 4% des PME interrogées ont subi une cyberattaque au cours des trois dernières années, 5% ont fait l’objet d’un chantage et 4% ont perdu de l’argent à cause d’e-mails frauduleux. Et seulement 30% des PME suisses disposent aujourd’hui d’un concept de sécurité IT incluant formations régulières et plan d’urgence.
Le piège du modèle « pompier »
Beaucoup de dirigeants romands fonctionnent encore en mode réactif : on appelle l’informaticien quand quelque chose casse. Le calcul paraît rationnel sur le papier. Il oublie deux variables.
Première variable : 90% des cyberattaques réussies exploitent des failles déjà corrigées par les éditeurs, mais que l’entreprise n’a jamais installées. Sans politique de mise à jour systématique, le système accumule chaque mois des portes d’entrée connues des attaquants.
Seconde variable : 70% des incidents informatiques sont causés par une erreur humaine. Sans formation continue ni surveillance des comportements à risque, chaque collaborateur devient un point de défaillance potentiel.
Le mode « pompier » coûte deux à trois fois plus cher qu’une maintenance préventive. Une intervention d’urgence se facture entre 150 et 200 CHF de l’heure, l’indisponibilité s’allonge faute de connaissance préalable du système, et le risque cumulatif grimpe à chaque incident non documenté.
Ce que change un modèle d’infogérance
L’alternative consiste à confier la gestion de son infrastructure IT à un prestataire spécialisé avec un contrat qui couvre la supervision 24/7, l’application des correctifs, la détection proactive des menaces et un plan de réponse aux incidents.
Concrètement, cela transforme trois variables clés. Le budget IT devient prévisible et lissé, généralement entre 5% et 8% du chiffre d’affaires, ce qui correspond au standard des PME suisses bien gérées de 10 à 100 collaborateurs. L’indisponibilité annuelle passe de plusieurs jours à quelques heures, parfois moins. Et la responsabilité juridique liée à la protection des données est partagée avec un partenaire dont c’est le métier.
Ce n’est pas un hasard si environ 8 PME suisses sur 10 font déjà appel à des prestataires informatiques externes pour gérer leurs infrastructures, selon les chiffres de la Mobilière. La vraie différence se joue désormais sur la qualité du contrat : couverture 24/7 ou heures ouvrables, certifications ISO 27001 ou non, plan de continuité testé ou simplement documenté.
Le cadre légal qui change tout
Depuis le 1er avril 2025, les exploitants d’infrastructures critiques en Suisse doivent signaler toute cyberattaque à l’OFCS dans les 24 heures suivant sa détection. Les sanctions pour manquement à cette obligation sont entrées en vigueur le 1er octobre 2025. Les secteurs concernés couvrent l’énergie, l’eau potable, les transports, la santé, les communications et les administrations cantonales.
Pour les autres entreprises, la loi révisée sur la protection des données (revDSG), en vigueur depuis 2023, impose déjà une protection adéquate des données personnelles et l’obligation de signaler les violations graves. La chaîne de responsabilité s’étend aussi aux prestataires : plusieurs incidents en 2024 et 2025 ont vu une cyberattaque sur un fournisseur IT paralyser simultanément des dizaines de PME clientes et déclencher une cascade d’obligations légales chez chacune d’elles.
Pour 2027, la Cyber Resilience Act européenne entrera en application et concernera indirectement toutes les PME suisses qui exportent ou intègrent des composants numériques européens. Les entreprises qui auront déjà industrialisé leur supervision et leur gestion des correctifs auront pris une longueur d’avance considérable.
Ce que les chiffres disent en réalité
Les données convergent vers une conclusion simple : une PME suisse qui n’a ni supervision continue, ni politique de mise à jour automatisée, ni plan de réponse aux incidents joue avec des probabilités qui se sont nettement détériorées en deux ans. Le coût d’une seule panne majeure dépasse souvent le budget annuel d’un contrat d’infogérance pour une structure équivalente.
La vraie question n’est plus de savoir si l’investissement dans une informatique supervisée est rentable. Elle est de savoir combien de temps une entreprise peut tenir sans se la poser.