Le top 5 des risques professionnels IT

Entreprise
Blog proposé par Hiscox

Cerveau opérationnel d’une entreprise, l’informatique est vitale. Mais elle est exposée à de multiples défaillances. Prendre soin de sa sécurité, c’est s’assurer qu’il n’y a pas ni failles, ni maillons faibles. Voici cinq points sur lesquels mieux vaut rester vigilant

Les sinistres informatiques n’arrivent pas qu’aux autres, et ils sont de plus en plus fréquents. Omniprésente et indispensable à l’activité même de la plupart des acteurs économiques, l’informatique joue, dans le fonctionnement quotidien d’une entreprise, quelle que soit sa taille, le rôle des neurones dans un cerveau.

Si, côté pile, l’IT permet de réduire les coûts de fonctionnement et d’améliorer la réactivité, côté face, sa défaillance menace toute la structure. Ce constat s’applique tant aux prestataires IT, dont c’est le gagne-pain, qu’à leurs clients chez qui un “plantage” peut aussi mettre l’activité en péril.

Multiples, les risques sont de deux ordres. Intérieur et extérieur. Un sinistre informatique peut surgir soit à la suite d’une erreur ou d’une mauvaise manipulation de la part d’un des salariés de l’entreprise soit trouver sa cause dans une intrusion. Sachant qu’elle profite toujours d’une défaillance interne.

1) Un système d’information fragilisé (ou perméable)
Comme tout organisme vivant, le système d’information d’une entreprise doit disposer de bonnes défenses immunitaires. Si ce n’est pas le cas, la moindre erreur ou agression exploite ses faiblesses pour causer des dégâts tous azimuts. C’est pourquoi une architecture solide, composée d’équipements bien maintenus, équipés de logiciels fiables et régulièrement mis à jour dans un cadre sécurisé, constitue un préalable indispensable.

2) Des personnels naïfs ou inconséquents
L’erreur humaine a bon dos. Les informaticiens aiment à dire que l’humain est le maillon faible d’un système d’information. Des utilisateurs bien formés permettent à la fois d’éviter les risques d’erreurs et de donner l’alerte, ce dont nombre d’équipements sont incapables. De plus, ils doivent savoir qu’ils peuvent être personnellement pris pour cible. Les cas de ces salariés de PME françaises abusés par de faux mails et qui ont, de bonne foi, procédé à des virements de plusieurs millions d’euros ne remontent qu’à quelques mois. Entre fin 2010 et fin 2014, 700 entreprises françaises ont porté plainte en raison de ces arnaques dites aux faux virements, pour un préjudice estimé à 300 millions d’euros. Sans compter toutes celles qui ont choisi de se taire…

3) La multiplication des terminaux mal sécurisés
Les ventes de smartphones et autres tablettes taillent des croupières à celles des ordinateurs, même portables, qui sont délogés de leur piédestal de poste à tout faire. D’un point de vue sécuritaire, cette prolifération des terminaux qui, non seulement, contiennent des données sensibles, mais permettent aussi d’entrer dans le système d’information, est un vrai casse-tête. Là encore, une politique de sécurité stricte et des utilisateurs avertis s’imposent.

4) Le Cloud à la papa
C’est certain, l’informatique en nuage va révolutionner l’informatique. Mais ces technologies sont encore jeunes et l’attrait d’économies faciles peut s’avérer… coûteux. Le côté pratique du partage de documents internes sur un service distant ne doit pas faire oublier que la plupart des hébergeurs ont pris soin de désengager leur responsabilité en cas de piratage.

5) La cybercriminalité en pleine croissance
Les cybercriminels profitent autant de l’interconnexion généralisée des systèmes que de l’ignorance de leurs victimes. Elles n’imaginent pas un instant que les ordinateurs qu’elles utilisent peuvent être visités avec une facilité déconcertante par des experts qui sont de plus en plus nombreux, tant les gains sont importants. L’affaire de la chaine américaine de supermarchés Target est édifiante. Fin 2013, des pirates sont parvenus à s’infiltrer dans les caisses de ses 1 934 magasins. Résultat : en moins d’un mois, ils ont fait 110 millions de victimes (40 millions de numéros de carte de crédit dérobés et 70 millions de données personnelles).

Au-delà de la prise de conscience et des mesures techniques à prendre, il convient aussi de s’assurer contre l’aléa, en transférant le risque à un assureur spécialisé. Celui-ci peut préfinancer le plan de réponse pour un coût moyen qui ne dépasse pas 3 à 5% du budget sécurité IT. Autre intérêt de la démarche : l’audit préalable à la signature de la police d’assurance. Il constitue déjà en soi un premier état des lieux…

En complément :
Freelance IT pourquoi s’assurer
e-Commerce : gérer le risque de la cybercriminalité (PDF, 15 pages)