Rendez-vous jeudi en fin de matinée sur le petit stand Microsoft sur le Salon des Assises de la Sécurité. Avec une heure de retard sur le timing initial (on vous le dit par honnêteté mais on n’est pas fier), Vnunet.fr retrouve Bernard Ourghanlian, en qualité de Chief Technology and Security Officer chez Microsoft France. Le temps d’évoquer ce que représente la dimension sécurité au sein des PME. « Revenons à des choses simples et concrètes », estime notre interlocuteur. (Interview réalisée le 16 octobre 2008)

Vnunet.fr: Comment gérer la sécurité au sein des PME ?
Bernard Ourghanlian : Il y a une chose qui résonne naturellement chez les patrons des PME : serais-je capable à la fin du mois de payer mes fournisseurs et mes collaborateurs ? Vu sous l’angle de la sécurité, on est loin de la théorie. Concrètement, si jamais il arrive un pépin à l’entreprise, est-elle en mesure de poursuivre mes activités ? L’impact sur la trésorerie de l’entreprise peut être immédiat. On pourrait raisonnablement penser qu’il faudrait placer un responsable informatique dans chaque PME. Mais celle-ci n’a pas toujours les moyens de disposer de ressources IT en interne.

Vnunet.fr: Quelles recommandations suggériez-vous dans ce cas ?
Bernard Ourghanlian : Le « b-a-ba » pour une entreprise est d’effectuer a minima une analyse d’évaluation des grandes catastrophes et les premiers éléments d’un plan de secours, sans nécessaire faire appel à un bataillon de consultants. Du coup, je pense qu’il faut changer de discours vis-à-vis des PME : parler davantage de plans de continuité ou de reprises d’activité plutôt que de sécurité. Les PME seront plus attentives à ce genre d’arguments qu’à d’autres considérations complexes voire fumeuses sur la sécurité.

Vnunet.fr: Quelles sont les menaces auxquelles les PME sont les plus exposées ?
Bernard Ourghanlian : Au regard des nouveaux virus et variantes de virus qui arrivent au quotidien, il vaut mieux vérifier que le logiciel anti-virus est mis à jour sur les postes ou qu’un collaborateur a ouvert le pare-feu pour récupérer par un site P2P la dernière vidéo à la mode. La plupart des attaques informatiques proviennent moins d’adolescents en mal d’égo qui cherchent à casser un maximum de PC mais plutôt de réseaux criminels organisés qui veulent extorquer de l’argent. Associé à l’environnement des PME, cela correspondrait à quoi ? Eventuellement des actes de malveillance ciblés comme le vol de secrets industriels de fabrication ou de bases de données clients ou une opération de décrébilisation sur le Web au profit d’un concurrent par le biais d’officines plus ou moins louches.

Vnunet.fr: Les pirates ne seraient-ils pas tentés de viser en premier les PME parce que leurs réseaux sont moins protégés que ceux des grandes entreprises ?
Bernard Ourghanlian : Vrai et faux en même temps. Un pirate cherchera à entrer dans les systèmes de grands groupes qui abritent des brevets intéressants. C’est un cas moins évident pour les PME. La taille de la société et sa notoriété aura forcément un impact sur la probabilité d’être attaquée.

Botnet, offres PME, DCSSI…Lire la fin de l’interview page suivante