FAQ
Mon réseau est-il concerné par la nLPD ?
Oui. La nLPD (nouvelle Loi sur la Protection des Données, en vigueur depuis septembre 2023) impose des mesures techniques de sécurité adaptées sur toutes les données personnelles traitées. Une intrusion réseau entraînant une fuite de données peut donner lieu à des amendes jusqu'à 250 000 CHF et à une obligation de notification du PFPDT.
Mon site WordPress a-t-il besoin d'un audit de sécurité ?
Oui. WordPress propulse 43 % des sites web dans le monde et est de loin le CMS le plus ciblé par les attaquants. Les vulnérabilités proviennent souvent des plugins tiers, des thèmes non mis à jour et des mauvaises configurations. Un audit Bexxo vérifie l'ensemble de ces points, pas uniquement le core WordPress.
Mon site web a-t-il besoin d'un audit de sécurité ?
Oui, si votre site collecte des données personnelles, traite des paiements ou est accessible depuis Internet. 73 % des sites web ont au moins une vulnérabilité critique (source : Bexxo, données internes). La nLPD (loi suisse sur la protection des données) impose aux entreprises de documenter leurs mesures de sécurité — un audit constitue cette preuve. En cas de fuite de données, l'absence de diligence peut entraîner des amendes jusqu'à 250 000 CHF.
Peut-on combiner plusieurs cadres (ISO, NIST, ANSSI, TIC) ?
Oui, ces cadres sont complémentaires. Chez Bexxo, nous recommandons une approche progressive : démarrer avec le Standard TIC suisse ou le guide ANSSI, structurer avec le NIST CSF, puis viser la certification ISO 27001. Chaque étape renforce la précédente sans repartir de zéro.
PhishTrainer est-il hébergé en Suisse ?
Oui. PhishTrainer est 100 % suisse : développé par Bexxo (Ins, canton de Berne) et hébergé sur des serveurs en Suisse. Aucun transfert de données à l'étranger. Les données de vos collaborateurs et les résultats de campagnes restent sur le territoire suisse, conformément aux exigences de la nLPD. PhishTrainer propose en option un chiffrement côté client (client-side encryption) : les données sont chiffrées dans le navigateur de l'utilisateur avant d'être transmises à nos serveurs. Concrètement, même notre infrastructure ne peut pas accéder aux données en clair — c'est une garantie de confidentialité maximale que peu d'outils de simulation peuvent offrir.
Pourquoi Bexxo est-il unique pour intervenir après un ransomware ?
Bexxo est l'une des rares structures en Suisse à réunir sous le même toit deux expertises complémentaires : la cybersécurité et la récupération de données physique. Notre groupe inclut SOS Data Recovery (sdr.ch), spécialiste de la récupération depuis 2006, disposant d'une salle blanche et d'équipements forensiques pour intervenir sur tous types de supports — disques durs, SSD, RAID, NAS, serveurs. Concrètement : un prestataire cybersécurité classique s'arrête au déchiffrement logiciel et aux sauvegardes. Si ces options échouent, il n'a plus rien à proposer. Bexxo peut aller une étape plus loin et tenter l'extraction physique des données sur le support — une capacité décisive dans les cas les plus critiques.
Pourquoi Bexxo s'appuie-t-il sur le CVSS du NIST pour évaluer la criticité des vulnérabilités ?
Le CVSS (Common Vulnerability Scoring System), développé par le NIST, est le standard universel d'évaluation de la gravité des vulnérabilités informatiques. Il attribue à chaque vulnérabilité un score de 0 à 10 selon des critères objectifs : vecteur d'attaque (réseau, local, physique), complexité d'exploitation, privilèges requis, interaction utilisateur, et impact sur la confidentialité, l'intégrité et la disponibilité. Utiliser le CVSS permet à Bexxo de communiquer la criticité des vulnérabilités dans un langage standard compris par tous les professionnels IT — et à nos clients de comparer les résultats de leurs audits avec des benchmarks reconnus mondialement.
Pourquoi définir des objectifs clairs en cybersécurité ?
Des objectifs précis et mesurables permettent de structurer les ressources disponibles, d’anticiper les menaces et de mettre en place des plans d’action ciblés pour renforcer la résilience globale de votre infrastructure.
Pourquoi former le personnel à la cybersécurité ?
Former le personnel à la cybersécurité est crucial, car l’humain reste le maillon le plus vulnérable dans la majorité des incidents de sécurité. Qu’il s’agisse d’un clic sur un lien de phishing, d’un mot de passe trop faible ou du partage involontaire d’informations sensibles, les erreurs humaines sont à l’origine de nombreuses compromissions.
Une bonne formation permet aux collaborateurs de reconnaître les menaces, d’adopter des comportements sûrs au quotidien (gestion des mots de passe, vigilance face aux emails suspects, respect des procédures), et de réagir correctement en cas de doute. Cela renforce la posture de sécurité globale de l’entreprise et réduit significativement le risque d’attaque réussie.
Pourquoi mon réseau d'entreprise est-il exposé aux cyberattaques ?
Le réseau d'entreprise est la première cible des attaquants : il donne accès à l'ensemble des systèmes, données et communications internes. Trois facteurs aggravent l'exposition des PME :
- Délai de détection long — le temps moyen pour détecter une intrusion est de 204 jours (IBM Cost of a Data Breach 2024), laissant aux attaquants le temps d'exfiltrer des données.
- Configurations par défaut — pare-feu, routeurs et switches livrés avec des réglages non durcis constituent des portes d'entrée exploitables.
- Accès distants non contrôlés — VPN, télétravail et accès partenaires élargissent la surface d'attaque sans toujours être correctement sécurisés.
Pourquoi recourir au cyber consulting de Bexxo ?
Nos consultants vous aident à élaborer une feuille de route claire, à optimiser votre budget cybersécurité et à définir des actions concrètes alignées sur vos enjeux business.
Pourquoi renforcer l’infrastructure réseau de mon entreprise ?
Un réseau robuste et bien configuré prévient la plupart des attaques et assure la continuité de vos opérations, même en période de forte sollicitation ou de menace cyber élevée.
Pourquoi solliciter un audit web Bexxo ?
Nous combinons expertise technique et méthodologie de pointe pour identifier rapidement les failles, proposer des correctifs et renforcer votre plateforme face aux cyberattaques.
Pourquoi surveiller les CVE est-il essentiel pour une PME ?
Plus de 130 vulnérabilités sont publiées chaque jour, et ce chiffre augmente d'année en année (+20 % entre 2024 et 2025). Sans veille active, votre entreprise utilise potentiellement des logiciels avec des failles connues et exploitables. 60 % des violations de données exploitent des vulnérabilités pour lesquelles un correctif existait déjà (Verizon DBIR).
Pourquoi une PME suisse a-t-elle besoin d'un audit de cybersécurité ?
Plus de 40 % des cyberattaques en Suisse ciblent les PME. Un audit identifie les vulnérabilités de vos systèmes (réseau, site web, accès) avant qu'elles ne soient exploitées, et vous met en conformité avec les normes ISO 27001 et la nLPD.