FAQ
L'ISO 27001 est-elle obligatoire en Suisse ?
Non, l'ISO 27001 n'est pas légalement obligatoire en Suisse. Cependant, la nLPD exige des mesures techniques et organisationnelles appropriées pour protéger les données. L'ISO 27001 fournit le cadre le plus reconnu pour démontrer cette conformité. Certains secteurs (finance, santé) l'exigent contractuellement.
L'analyse est-elle vraiment gratuite et sans engagement ?
Oui, sans condition. L'analyse initiale est offerte par Bexxo dans le cadre de notre démarche de sensibilisation à la cybersécurité des PME suisses. Aucune carte bancaire n'est demandée, aucun contrat n'est signé. À l'issue de l'analyse, si des prestations complémentaires (audit approfondi, forfait, formation) vous intéressent, vous recevez un devis détaillé — que vous êtes libre d'accepter ou non. 68 % des PME suisses n'ont jamais réalisé de bilan cybersécurité (NCSC) : cette analyse est conçue pour lever ce frein.
L'audit est-il conforme aux normes ISO 27001 et nLPD ?
Oui. Nos audits suivent les contrôles de l'ISO 27001:2022 (Annexe A — contrôles technologiques) et le NIST CSF comme cadres de référence. Le rapport d'audit peut servir de preuve de diligence en cas de contrôle du PFPDT dans le cadre de la nLPD.
L'audit inclut-il la correction des failles identifiées ?
Non — l'audit couvre l'identification, la classification et le plan d'action. La correction des failles est une prestation distincte, réalisable par vos équipes internes sur la base du rapport, ou par Bexxo sur devis. Cette séparation garantit l'objectivité de l'audit : le prestataire qui audite ne peut pas avoir intérêt à trouver plus de failles qu'il n'en existe. Tous nos forfaits incluent une assistance à la compréhension du rapport et aux premières mesures correctives.
La MFA (authentification multi-facteurs) protège-t-elle vraiment contre le phishing ?
Oui, dans la très grande majorité des cas. Même si un attaquant obtient votre mot de passe via une page de phishing, il ne peut pas se connecter sans le deuxième facteur (code SMS, application d'authentification, clé physique). La MFA bloque 99,9 % des attaques automatisées sur les comptes (Microsoft 2024). La seule exception est le phishing en temps réel (attaque MITM / Adversary-in-the-Middle) qui intercepte le code MFA dans le même instant — ce vecteur reste marginal pour les PME. La recommandation : activer la MFA sur tous les comptes professionnels sans exception.
La formation cybersécurité est-elle obligatoire avec la nLPD suisse ?
La nLPD (loi fédérale suisse sur la protection des données, en vigueur depuis septembre 2023) exige que les entreprises mettent en place des mesures organisationnelles pour protéger les données personnelles. La formation du personnel est explicitement recommandée par le Préposé fédéral à la protection des données (PFPDT) comme mesure organisationnelle essentielle. En cas de violation de données, l'absence de formation documentée peut aggraver la responsabilité de l'entreprise. Bexxo fournit un rapport de suivi qui sert de preuve de diligence lors d'un contrôle PFPDT. Amendes jusqu'à 250 000 CHF pour les responsables du traitement en cas de manquement.
La formation cybersécurité est-elle obligatoire pour les PME ?
La nLPD (en vigueur depuis septembre 2023) impose des mesures organisationnelles de protection des données, dont la sensibilisation des collaborateurs. Au-delà de l'obligation légale, la formation est le levier de prévention le plus rentable : 91 % des cyberattaques débutent par un email de phishing (KnowBe4), une menace entièrement évitable par la formation.
La formation cybersécurité est-elle obligatoire pour les PME selon la nLPD ?
La nLPD (nouvelle Loi sur la Protection des Données, en vigueur depuis septembre 2023) impose des mesures organisationnelles de protection des données, dont la sensibilisation des collaborateurs aux risques. Si une violation de données survient et que l'entreprise ne peut pas démontrer qu'elle a formé ses équipes, elle s'expose à des amendes jusqu'à 250 000 CHF. Les rapports de formation générés par Bexxo Academy servent de preuve de diligence en cas de contrôle du PFPDT.
La nLPD exige-t-elle une norme spécifique ?
Non, la nLPD (nouvelle loi suisse sur la protection des données) n'impose aucune norme spécifique. Elle exige des « mesures techniques et organisationnelles appropriées ». L'ISO 27001, le NIST CSF ou le Standard TIC suisse sont les cadres les plus reconnus pour démontrer cette conformité en cas de contrôle du PFPDT.
La simulation de phishing est-elle utile pour la conformité nLPD ?
Oui. La nLPD (nouvelle Loi sur la Protection des Données, en vigueur depuis septembre 2023) impose des mesures organisationnelles de sécurité, dont la sensibilisation des collaborateurs aux risques. En cas de violation de données, une entreprise qui ne peut pas démontrer qu'elle a formé ses équipes s'expose à des amendes pouvant atteindre 250 000 CHF. Les rapports de campagne PhishTrainer servent de preuve de diligence : ils documentent les simulations effectuées, les taux de clic par période, et les actions correctrices mises en place.
Le consulting Bexxo couvre-t-il la conformité nLPD ?
Oui. La conformité nLPD (nouvelle Loi sur la Protection des Données, Suisse) est intégrée dans toutes nos missions de consulting. Nous analysons vos traitements de données, identifions les écarts, mettons en place les mesures techniques et organisationnelles requises et vous fournissons la documentation nécessaire en cas de contrôle du PFPDT.
Le guide ANSSI est-il applicable en Suisse ?
Oui. Bien que l'ANSSI soit l'autorité française, ses 42 mesures d'hygiène informatique sont universelles et particulièrement pertinentes pour les PME francophones suisses. Le guide est gratuit, pragmatique et compatible avec le NIST CSF et l'ISO 27001. C'est un excellent point de départ pour les entreprises de Suisse romande.
Le rapport d'audit réseau est-il utilisable pour la certification ISO 27001 ?
Oui. Nos audits suivent les contrôles de l'ISO 27001:2022 (Annexe A — contrôles technologiques et physiques) et le NIST CSF comme cadres de référence. Le rapport d'audit constitue une preuve documentaire de diligence auprès des auditeurs ISO, du PFPDT et de vos partenaires commerciaux.
Le smishing (SMS) et le vishing (téléphone) sont-ils aussi dangereux que le phishing par email ?
Oui, et ils peuvent être plus efficaces, précisément parce que les gens s'y attendent moins.
Smishing (SMS) : les SMS ont un taux d'ouverture supérieur à 90 %, contre 20 à 30 % pour les emails. Les messages imitent typiquement une alerte de livraison (La Poste, DHL), un avertissement bancaire ou un message de l'administration. Le lien redirige vers une fausse page de connexion. Sur mobile, l'URL est souvent tronquée et difficile à vérifier.
Vishing (vocal) : l'attaquant appelle directement sa victime en se faisant passer pour le support IT, une banque, ou Microsoft. La pression en temps réel et la voix humaine contournent les défenses habituelles. Les deepfakes vocaux générés par IA permettent désormais d'imiter la voix d'un collègue ou d'un dirigeant connu.
La règle d'or dans les deux cas : ne jamais fournir d'informations sensibles suite à un message ou appel non sollicité — rappeler directement l'organisme via un numéro officiel connu.
Les PME suisses sont-elles plus exposées que les grandes entreprises ?
Oui. Les PME constituent des cibles privilégiées précisément parce qu'elles disposent de moins de ressources de sécurité que les grands groupes, tout en traitant des données sensibles. En Suisse, 40 % des cyberattaques ciblent directement les PME (NCSC). Contrairement aux grandes entreprises, elles n'ont souvent ni équipe IT dédiée, ni plan de continuité testé, ni budget de remédiation suffisant — ce qui explique que 60 % d'entre elles cessent leur activité dans les 6 mois suivant un incident grave.