T
rois PME sur quatre sont aujourd’hui connectées à l’Internet haut débit. Si l’adoption diffère entre les secteurs (élevé dans les secteurs de l’imprimerie, du conseil et de l’immobilier, commerce du gros alimentaire…), ce pourcentage montre une réalité : Internet fait désormais partie de l’activité des petites et moyennes entreprises. La plupart ont en effet bâti un système d’information reposant sur trois composantes clés : un serveur pour la centralisation des données et des applications, des postes de travail et une ligne ADSL permettant de relier le réseau de l’entreprise à l’Internet. Ainsi, les PME ouvrent leur horizon à d’autres méthodes de commercialisation qui dépassent leur cadre géographique habituel. Plus qu’un simple besoin de communiquer, Internet est devenu pour bon nombre de PME une nécessité pour développer leur activité et franchir une nouvelle étape dans leur plan de croissance.Bien qu’Internet soit incontestablement un nouvel outil de travail puissant, offrant de nombreuses possibilités de communication et d’échange, il n’est pas sans risques pour l’entreprise. Les menaces sont nombreuses, certaines potentiellement très dangereuses pour l’activité de l’entreprise, son patrimoine intellectuel et son savoir-faire. Elles sont de deux ordres : les menaces informatiques et les menaces internes.
Les menaces informatiques (ou externes) sont à mettre à « l’actif » des virus, vers, chevaux de Troie, logiciels espions, rootkits, spam… Ces codes malveillants, élaborés par des pirates, cyber-terroristes ou espions industriels, s’introduisent dans le système d’information de la PME et commettent de multiples méfaits : collecte d’informations, vol d’identité (ou « phishing »), destruction de données, transformation d’un PC en « zombie », immobilisation des ressources informatiques (serveur de messagerie, par exemple). Ces menaces sont d’autant plus difficiles à appréhender qu’elles sont « sophistiquées », que les moyens de communication ont évolué (ADSL, Wi-Fi…) et que les technologies - de plus en plus complexes - générent elles-même leur propre faille… aussitôt exploitées par les pirates informatiques dont les seules visées sont purement économiques. On parle de « criminalité informatique organisée et tarifée ».
La multiplicité des sources de propagation (supports amovibles, téléphones portables et assistants personnels, par exemple) rendent l’éradiquation de ces menaces difficiles, souvent longues et fastidieuses. L’impact financier d’une attaque est également important, voire fatal pour certaines PME qui n’ont pas pu se redresser suite à une perte totale de leurs données qui n’étaient pas protégées.
Plus de 155 vulnérabilités sont déclarées par semaine. Le temps moyen entre la publication de la vulnérabilité et de son exploitation est de 5,6 jours. Le délai de survie d’un ordinateur sans correctif de sécurité et sans protection vis-à-vis d’Internet est en moyenne de 10 minutes.
Les menaces internes(le personnel de l’entreprise) sont, selon tous les analystes, en forte croissance, l’ouverture du système d’information créant un appel d’air important pour la fraude interne. Selon le cabinet d’études IDC, « cette menace diffuse, animée par les salariés et partenaires accédant aux ressources informatiques, n’est pas forcément agressive ni intentionnelle, mais elle peut provoquer des dégâts importants.
» Par exemple : la « simple perte » d’une clé USB contenant des données confidentielles comme le fichier clients ou les secrets de fabrication d’un produit peut ruiner l’entreprise. Bien que plus rare, l’espionnage industriel n’est pas à sous-estimer, principalement pour les PME exerçant une activité stratégique ou sensible (aérospatial, défense,…). Un manque de vigilance est souvent observé pour les personnels temporaires. Le facteur humain, par sa complexité et sa fragilité, est donc un « maillon faible » du système d’information.
Une protection difficile à appréhender
Le système d’information est constitué de nombreuses briques avec des composantes très diverses tant au niveau des moyens d’accès (3G, Internet, Wi-Fi), des équipements utilisés (PC de bureau, ordinateurs portables, smartphones…) que des applications (client-serveur, Web, Web Services, VoIP, …).
Selon une étude de iSupply Corp. En avril 2007, le marché global du PC portable a progressé de 15,5 % au dernier trimestre 2006 (par rapport au trimestre précédent), et même de 22,4 % par rapport à la même période de l’année précédente. Le portable se vend de mieux en mieux, et commence même à éclipser les ventes d’ordinateurs de bureau en termes de parts de marché. Au total, 80 millions de portables furent achetés dans le monde en 2006. Les analystes prédisent 98,3 millions de ventes en 2007, soit une croissance de 23,5 % par rapport à l’année dernière.
Cette étude confirme la tendance des entreprises à se doter d’équipements mobiles permettant aux collaborateurs d’accéder aux données de l’entreprise - même en déplacement - afin de gagner en productivité. De ce fait, la sécurité des accès distants et des échanges d’informations est capitale pour l’entreprise qui veut préserver la confidentialité de ses données.
Mais cette protection est complexe à appréhender pour les PME et ce, pour deux raisons principales :
1. Une sécurité efficace du système d’information doit être appréhendée à plusieurs niveaux : passerelle, messagerie, poste de travail… Il s’agit de contrôler les accès, de détecter et d’éradiquer les menaces informatiques (virus, etc.). Cette protection peut faire appel à une combinaison de matériels et de logiciels qui s’intègrent à différents niveaux de l’infrastructure informatique avec des paramétrages fins… ce qui nécessite un personnel qualifié.
2. Or, les PME ne disposent pas toujours des compétences avérées en matière de sécurité informatique. Responsable informatique et responsable de la sécurité du système d’information (RSSI) sont deux métiers différents ; et rares sont les PME qui emploient conjointement ces deux profils. Très souvent, c’est le dirigeant de l’entreprise qui fait office de responsable informatique « épaulé » par son partenaire local.
Sécuriser pour accroître la haute disponibilité du système d’information
Une étude menée par IDC en octobre 2006 sur « L’état des lieux du marché de la sécurité en France » classe ainsi les projets de sécurité des entreprises mis en place ou en cours de mise en place :
• Sécurisation des applications critiques 86 %
• Sécurisation du réseau 86 %
• Sécurisation des emails 83 %
• Backup 78 %
• Sécurisation des accès distants 74 %
• Mise en conformité réglementaire 68 %
• Administration centralisée de la sécurité 67 %
• Sécurisation des applications Web 60 %
Ces chiffres montrent que les trois premières préoccupations des entreprises se rejoignent : il s’agit non seulement de protéger les données et les échanges d’informations mais aussi d’accroître la disponibilité du système d’information, c’est-à-dire le bon fonctionnement des applications clés de l’entreprise (ERP, comptabilité, paie, etc.) et des équipements de communication.
Autre classement intéressant, celui des technologies vers lesquelles les entreprises se sont orientées en 2006 :
• Antivirus 47 %
• Antispam 44 %
• Firewall (pare-feu) 38 %
• VPN (réseau privé virtuel) 35 %
• Contrôle d’URL (sites Web) 32 %
• IDS (Détection d’intrusion) 32 %
• IPS (Prévention d’intrusion) 29 %
• Audit vulnérabilités 26 %
• Contrôle messagerie 16 %
• SSO (identification unique) 14 % On retrouve ces tendances en 2007.
Le secteur de la sécurité informatique ne semble pas souffrir des ralentissements de croissance conjoncturels. En effet, le taux moyen de croissance est trois fois supérieur à celui du marché global de l’informatique d’entreprise en France (de l’ordre de 5 % entre 2005 et 2006. Source IDC 2006).
Toutes les études le confirment : sécuriser son système d’information ou renforcer la protection existante est capital pour la PME. La tâche pour son dirigeant est d’autant plus importante que :
• sa responsabilité juridique est engagée. L’ouverture du réseau de l’entreprise à celui d’Internet s’est accompagnée pour la PME et son responsable de nouveaux risques juridiques aggravés par un durcissement législatif en terme de responsabilité.
Les lacunes au niveau de sa sécurité informatique qui la rendaient autrefois victime d’intrusion, de vol de données ou d’indisponibilité de son système d’information la rendent aujourd’hui coupable sur les plans civiles et pénales (voir le chapître suivant à cet effet) ;
• les contraintes réglementaires sont fortes. Les scandales de gestion récents de grandes entreprises mondiales - mais aussi françaises - ont multiplié les règlements internationaux (Sarbannes Oaxley…) ou métiers (Bâle II…), les règlements nationaux de sécurité intérieure et les lois nationales économiques comme la Loi de sécurité financière. Face à l’élargissement du panel des obligations, de nombreuses adaptations ont été apportées au niveau des procédures dans l’entreprise, à commencer par la sécurité informatique.
Dans les chapitres suivants de ce Livre Blanc, vous découvrirez les risques juridiques encourus par le dirigeant de l’entreprise, les questions qu’il convient de se poser en matière de sécurité du système d’information et les solutions proposées par Check Point.