Pascal Lointier (Clusif) : « Les pertes de données, principal risque des PME »

Le Club de la sécurité des systèmes d’information français (Clusif), qui réunit les grandes entreprises, sert de forum pour partager les expériences en matière de sécurité informatique et de risques de cybercriminalité. Chaque année, le Clusif diffuse un panorama qui fait le point sur ces risques qui menacent les grandes entreprises. Les dangers sont-ils les mêmes pour les PME ? Son président Pascal Lointier revient sur les problématiques spécifiques de la sécurité informatique pour ce profil d’entreprise.
Les PME sont-elles plus exposées aux risques informatiques que les grandes entreprises ?
Pascal Lointier : Il est difficile de répondre à cette question dans la mesure où la nature des risques est très différente selon la taille de l’entreprise. Les grandes structures tentaculaires ont ainsi parfois du mal à maîtriser les points d’entrée sur leurs réseaux, tandis que les difficultés des PME relèvent plus souvent de leur éventuelle insouciance vis-à-vis des questions de sécurité. Pourtant, les solutions de lutte contre le spam, les pare-feu et les antivirus sont aujourd’hui facilement déployables et pour des coûts assez peu élevés.

Ces petites entreprises sont-elles suffisamment bien informées des risques qu’elles encourent ?
Je pense qu’un des problèmes des PME est leur faible niveau d’information sur les risques informatiques. Les éditeurs de logiciels leur envoient principalement des messages alarmistes, alors qu’il serait certainement plus efficace d’adopter un discours plus pédagogique afin que les entreprises acquièrent les bons réflexes pour se prémunir.
De plus, il est nécessaire de sensibiliser des employés qui ont accès à un ordinateur. En particulier leur faire prendre conscience que la sécurité n’est pas seulement la responsabilité de l’administrateur réseau mais celle de tous les utilisateurs. Cette sensibilisation se fait la plupart du temps au sein même de l’entreprise et peut passer par la mise en place d’une charte d’utilisateurs. Celle-ci présente un double intérêt : elle permet d’engager les employés à la fois moralement et, d’un point de vue plus répressif, juridiquement, s’ils venaient à commettre des actes malveillants.

Les grandes structures et les PME sont-elles confrontées aux mêmes problématiques ?
Non, les menaces informatiques sont radicalement différentes selon la taille de l’entreprise. Ainsi, les cas de chantage, extorsion et racket sur Internet mentionnés dans le « Panorama de la cybercriminalité 2004 » publié par le Clusif ne concernent que les grandes entreprises. De même, les affaires d’attaques concurrentielles n’ont pour le moment jamais impliqué des PME. Celles-ci sont en fait exposées aux mêmes dangers et nuisances que les utilisateurs personnels : le spam et les différentes formes de programmes malveillants qui ne ciblent pas spécifiquement une entreprise donnée.

Selon vous, quels sont les comportements qui peuvent mettre en danger les PME ?
Je vois encore beaucoup de PME qui conservent leurs sauvegardes dans le même bâtiment que la salle technique, ce qui les expose à un risque de perte de l’intégralité de leurs données en cas de sinistre physique comme un incendie. De même, dans le cas de malveillances internes, il sera possible de détruire également ces sauvegardes sur supports externes. Il faut bien différencier sauvegarde et réplication de données. Cette dernière, également appelée mirroring , a pour objectif d’assurer un redémarrage rapide du système en cas de corruption de données, via des serveurs RAID. La sauvegarde est quant à elle destinée à assurer une disponibilité des données dans le temps, elle doit donc se faire sur d’autres supports (des CD réenregistrables ou des clés USB de grande capacité, par exemple), qui devront être conservés en dehors des murs de l’entreprise.

Arrive-t-il que des PME perdent la totalité de leurs données informatiques ?
Nous avons vu le cas d’une entreprise qui s’était retrouvée dans cette situation suite à une malveillance interne : la personne avait pris le soin de détruire toutes les sauvegardes conservées dans les locaux. De même, le risque existe lors de conflits entre l’entreprise et le responsable informatique, lequel est en mesure de causer de gros dégâts aux systèmes informatiques.

Le nomadisme de certains employés peut-il représenter une menace particulière pour les PME ?
Un des premiers problèmes posés par le nomadisme des employés concerne les ordinateurs portables : il faut penser à donner aux salariés nomades la possibilité de sauvegarder les données saisies pendant leurs déplacements. Ceci peut se faire via un accès au système d’information de l’entreprise ou tout simplement sur des supports de stockage externes. Autre problème : ces machines nomades sont parfois amenées à se connecter à l’Internet ou au système de l’entreprise alors que leur antivirus n’a pas profité des dernières mises à jour automatiques. Elles peuvent ainsi non seulement être contaminées mais également répandre un éventuel virus au sein de l’entreprise.

Est-il possible d’évaluer les pertes de productivité qu’engendrent les risques informatiques des PME, en particulier le spam ?
Ces pertes de productivité peuvent être importantes dans le cas de grandes entreprises mais je ne crois pas qu’elles constituent un réel problème pour les petites structures. La principale nuisance est en effet le spam, dont le nettoyage va nécessiter quotidiennement seulement quelques minutes à chaque employé. Je pense que les destructions accidentelles de données par les utilisateurs coûtent beaucoup plus cher aux entreprises que le spam et autres virus.

Une PME a-t-elle intérêt à déléguer ces questions de sécurité à des spécialistes du domaine ?
S’il n’est pas envisageable de demander à une société externe de prendre en charge les sauvegardes de données, il peut être intéressant pour une PME de faire appel à une société de conseil afin d’organiser les modes opératoires. Ce conseil pourra ainsi porter sur la fréquence des sauvegardes, qu’il faut adapter aux besoins de chaque entreprise, ou la vérification de leur efficacité. Une fois ce travail fait, ces tâches peuvent tout à fait être effectuées en interne.