Actu
Alain Takahashi, Hermitage Solutions : Du risque perçu au risque réel pour la sécurité des PME
septembre 2008 par Alain Takahashi, gérant, Hermitage Solutions
Quel dirigeant de PME s’est déjà fait piraté sa boite mail ? Combien de sociétés ont elles déjà
été confrontées à un hacking de leur système d’information ?
Bien peu en fait (et particulièrement en France) et pourtant beaucoup de sociétés de tailles
moyennes possèdent et exploitent des brevets, des techniques particulières qui les rendent
uniques et prospères. Toute cette information est conservée sur les ordinateurs de l’entreprise,
parfois de façon organisée et le plus souvent éparpillée dans un réseau d’entreprise que le
dirigeant pense sécurisé car il a été mis en place un firewall couplé à un antivirus, des
sauvegardes en cas d’incendie et éventuellement un antispam pour éviter les « nouvelles
menaces » dont ils entendent si souvent parler...
Et pourtant, trois simples pourcentages publiés récemment dans The Economist résument à
eux seuls la problématique de la sécurité, en particulier dans les PME :
· 39% des utilisateurs de clés USB les utilisent pour des transferts entre l’entreprise et le
domicile ;
· 60% des données professionnelles sont sur des postes de travail ;
· 70% des infractions de sécurité impliquant des pertes de plus de 100 000 €
proviennent de l’interne !
Avec la multiplication des réseaux sans fils et des périphériques mobiles de grande capacité
(clés USB, iPod, PDA) capables de stocker et de transmettre des informations, la sécurité a
changé de champs de bataille et ce n’est plus le réseau d’entreprise qu’il faut protéger mais
l’information par elle-même.
En effet, une clé USB ou un téléphone mobile, voire un ordinateur portable pourra toujours
être volé ou égaré. Et même s’il n’est pas de bon ton de dire cela, un salarié en mal de
promotion chez un concurrent sera toujours capable de partir avec des informations vitales
pour l’entreprise.
Une réflexion logique consisterait à enfermer toutes ces informations dans une sorte de coffre
fort informatique mais face à une organisation du travail misant de plus en plus sur la mobilité
et la collaboration, ceci tient de l’utopie.
Il existe pourtant une panoplie d’outils simples et efficaces qui permettent de garantir une
sécurité minimale :
1. penser et appliquer une politique de sécurité : s’impliquer en tant que dirigeant de
PME en édictant une politique de sécurité permet de prévenir les risques minimum.
Ecrire noir sur blanc l’interdiction de révéler ses mots de passe, interdire l’utilisation
de copies locales de documents ou de bases de données stratégiques, ...
2. penser aux mises à jours : car les éditeurs d’OS, de navigateurs Web et d’antivirus,
pour ne parler que d’eux font des mises à jours quasi quotidiennes, elles sont utiles !
3. protéger directement les données : car il existe maintenant des logiciels qui
permettent de règlementer l’usage et la diffusion des données informatiques. De
l’impression à la copie sur périphérique mobile, il est possible d’empêcher toute fuite
d’information et de savoir précisément d’où provient la fuite. On parle ici d’outils de
DLP (Data Loss Prevention).
4. chiffrer (au moins) ses communications importantes : pour éviter d’envoyer un
mail à un interlocuteur sans savoir si il l’a reçu et sans être certain qu’il n’a pas été
intercepté ou lu par d’autres.
Au-delà de la sécurité immédiate, les PME vont également être confrontées à un nouveau
challenge : se mettre en conformités avec les règlementations qui, dématérialisation oblige,
vont régir les échanges électroniques entre les entreprises mais également avec les
administrations ou les clients. On parlera ainsi de non-répudiation ou de preuve électronique
mais si la base n’est déjà pas sécurisée, il sera difficile d’aller plus loin.
