www.ecoreseau.fr
n°22
StRAtÉGie & iNNoVAtioN NuMÉRiQue Haute résolution - PME et cyberdéfense Petits doivent être costauds
tPe et PMe aussi ont des données sensibles. les solutions conçues pour elles sont encore rares, mais la généralisation du Cloud et du Saas va y remédier.
une étude menée à la fin de l’année 2014 par ipsos révèle une situation paradoxale. en interrogeant des PMe, l’institut a trouvé que si 90% étaient conscientes des risques de piratage informatique, que 75% des chefs d’entreprise savaient que leur responsabilité était engagée et que 11% avaient été victimes d’un piratage, 50% d’entre elles ne font rien pour se protéger. l’immense majorité ne filtre pas les accès web, et le budget moyen annuel par employé ne dépasse pas 50 euros... Pourtant, elles sont aussi vulnérables qu’une grande
Tables de la cyberloi
Cinq principes à respecter
Réfléchir sa sécurité informatique
Avant de se lancer dans la recherche de prestataires ou de solutions, il faut savoir où l’on va mettre les pieds. Une bonne sécurité informatique est réfléchie : quel est le périmètre à protéger, quels outils sont les plus appropriés pour le faire, quels sont les responsabilités et rôles de chacun ?...
Maîtriser l’accès à Internet
Tout point de contact entre le réseau interne de l’entreprise et Internet est un point d’accès potentiel – que l’on parle de box ou de point WiFi. Pour mieux les contrôler, il faut limiter leur nombre au maximum, les surveiller et utiliser des identifications fortes.
Détenir un matériel à jour et homogène
Un même logiciel peut présenter des vulnérabilités différentes selon sa version – et il en va de même des machines. Si tout le monde dans l’entreprise a un matériel homogène (même système d’exploitation, mêmes logiciels, matériel similaire... ), sécuriser l’ensemble sera beaucoup plus simple. Et tout garder à jour protège contre les virus déjà connus, même assez récents.
Contrôler les individus
Les erreurs individuelles causent plus de problèmes de cybersécurité que l’on croit. Le maillon humain reste l’un des plus faibles de la chaîne, et il doit être à la fois éduqué grâce à des formations (reconnaître le phishing par exemple), et contrôlé dans ses actes (limiter les sites internet consultables et le recours à des solutions de stockage en ligne, par exemple). Il faut également surveiller attentivement les droits d’accès aux fichiers.
Prévenir plutôt que réagir
Il faut s’attendre à être attaqué, et agir en conséquence. Par exemple, des solutions de remplacement et de remise en état doivent avoir été prévues avant l’attaque ; sinon, il est trop tard.
58 Juillet - Août 2015
toute information a une valeur – les données personnelles et professionnelles des clients comme des informations sur des produits ou offres innovants –, ce qui veut dire que presque toutes les entreprises sont des victimes potentielles. « Le recours croissant à des solutions de partage comme Google Drive ou Dropbox peut constituer un danger : ces logiciels, conçus pour le grand public au départ, présentent des lacunes en matière de sécurisation », signale Sébastien Faivre, directeur général de Brainwave, qui propose une solution d’analyse des droits d’accès. Même celles n’hébergeant aucune donnée peuvent voir leur site web détourné pour émettre du spam. le deuxième est que toute les PMe et tPe ont une interaction avec le Web, au minimum un site vitrine ou marchand et l’utilisation du réseau pour échanger avec ses partenaires et clients. enfin, le troisième bouleversement est que le piratage est maintenant une activité lucrative. « Les données client volées sont vendues sur le marché noir », décrit Régis Rocroy, fondateur et dirigeant d’ozon, spécialisée dans la protection web. les agressions sont majoritairement effectuées par des robots qui attaquent des milliers de sites et systèmes
type d’équipement et de compétence – tout en devant trouver un modèle économique adapté aux moyens de leur cible. de plus « il faut, pour séduire les PME, que les solutions soient simples à utiliser, car elles ont peu de ressources et elles sont déjà occupées », explique Sébastien Mancel.
entreprise et surtout elles sont aussi susceptibles d’être attaquées. « Les problèmes de sécurité des informations, qui étaient l’apanage des grandes sociétés il y a quelques années, touchent aujourd’hui tout le monde », estime Jean-François louapre, vice-président du CeSiN, une association indépendante de RSSi. Ce n’était pas le cas il y a encore une dizaine d’années, mais l’arrivée de l’ère de la donnée et du Web a entraîné trois bouleversement majeurs.
DES PANSEMENTS ENCORE ÉPARS
l’arrivée des technologies liées au Cloud et des solutions en mode Saas (logiciel à la demande) fait évoluer la situation, apportant une réponse à la fois au manque de moyens techniques et à la probléma- tique du coût. « La facturation à la demande rend très pertinente l’externalisation de la cybersécurité », souligne Sébastien Faivre.
LE MONDE WEB A CHANGÉ
le premier est que presque
« Puisque je vous dis qu’il n’y a pas de souci à se faire, il n’yarienàvolercheznous!»
et pédagogique, conçu pour les PME », rappelle Jean- François louapre. Mais ces mesures ne suffisent pas à protéger des données vraiment sensibles.
de plus, cela répond également aux problématiques d’instal- lation et de maintenance des solutions. Malheureu-sement, l’offre aujourd’hui disponible est réduite – quelques dizaines au total sur le marché français, tous rôles confondus. « Les offres étrangères sont encore peu visibles, et elles posent la question de la souveraineté des données », explique Régis Rocroy. Mais elles couvrent tous les besoins. Pour n’en citer que quelques uns : ozon pour les sites web, Vade Retro pour le mail, Numvision pour le partage de fichier, Brainwave pour l’analyse des compor- tements et des flux, Qualys pour le diagnostic et la stratégie...
grandes entreprises, mais souffrent d’un manque criant de moyens techniques et financiers. et en plus, « si une PME connaît un grave problème de sécurité, les
Désormais toute information a une valeur, toutes les entreprises sont donc des victimes potentielles
la bonne nouvelle est que ces prestataires seront bientôt rejoints par les éditeurs majeurs,
– il ne s’agit plus, sauf cas particulier, d’attaques malveil- lantes, avec intention de nuire, menées par quelqu’un qui aurait spécifiquement choisi sa victime.
conséquences sont plus souvent fatales que pour une grande entreprise », souligne Sébastien Mancel, responsable pour la France et l’europe du Sud des PMe/tPe chez Qualys, spécialisée notamment dans le scan et l’audit. Certes, il existe un certain nombre de démarches « de base » qu’elles peuvent accomplir par elles- mêmes (cf. encadré), et « l’ANSSI a publié un guide des bonnes pratiques informatiques, très explicite
de fait, la sécurité informatique est un travail à temps plein, et il faut pouvoir se l’offrir. ou, à défaut de s’équiper soi-même (mais l’embauche d’un RSi ne suffit pas en elle-même), il faut recourir aux services d’un prestataire. le problème est que les contraintes évoquées ci-dessus pèsent également sur eux : pour protéger des PMe, ils doivent pouvoir offrir les mêmes prestations que pour une grande entreprise – et donc disposer du même
éveloppent leurs
DES CONTRAINTES PARTICULIÈREMENT SÉVÈRES
les petites entreprises se retrouvent donc face à un problème particulièrement épineux. elles sont confrontées aux mêmes risques que les
quitousd.
solutions sur le nuage, ce qui élargira considérablement le choix. en effet, les PMe partagent une caractéristique qui, sur le long terme, les protégera de la cybercrimi- nalité : elles représentent ensemble un marché très important.
Jean-Marie Benoist