Sécurité informatique : une mise à jour s’impose !

PRESENCES - Le Magazine de la Région grenobloise - Avril 2009

Production, ressources humaines, ventes : la technologie informatique s’immisce dans tous les services, les risques de malveillance aussi. Garantir l’intégrité des informations est vital pour la bonne marche de l’entreprise. Diagnostic des vulnérabilités le plus souvent constatées, et recommandations.

Presque 85 % des PME régionales se déclarent dépendantes de l’informatique. C’est ce qui ressort d’une étude menée l’an passé par l’association Espace numérique entreprises (ENE) sur des entreprises de moins de 200 salariés. “Pour 59 % d’entre elles, il s’agit même d’une dépendance forte : une indisponibilité de moins de 24 heures des équipements informatiques aurait des conséquences graves sur leur activité”, explique son auteur, Anaïs Dupas. Si les grands groupes sont désormais bien armés pour faire face aux menaces qui pèsent sur leurs précieuses données, il n’en va pas de même des PME et des TPE : 37 % d’entre elles reconnaissent avoir perdu des informations en 2007, du fait d’une infection virale, d’une panne matérielle ou d’une erreur humaine. Le manque de compétences internes et une méconnaissance des bonnes pratiques accroissent leur vulnérabilité.

© Jupiterimages

Une première précaution : sauvegarder !…

Toutes les entreprises sont concernées par la sécurité informatique, dès lors qu’elles produisent, manipulent et conservent des informations sous forme numérique – éléments comptables, états des stocks, fichiers clients, factures, procédés de fabrication, messagerie électronique, etc. Celles-ci doivent être protégées. “Si notre système informatique tombait en panne malgré les sécurités existantes, nous pourrions continuer à fonctionner car nous conservons également des dossiers papier, mais notre activité en serait fortement pénalisée”, estime Denis Guillot, directeur de la société Médical Air, à Moirans, spécialisée dans le traitement à domicile de patients atteints de pathologies respiratoires. Pour éviter les déconvenues, une seule solution : sauvegarder ! Les PME en sont conscientes...Protéger l'intégrité des données ne suffit pas, il faut assurer et garantir leur confidentialité.

...mais aussi dupliquer les données

À partir d'un certain niveau de dépendance à l'outil informatique, la mise en place d'un plan de reprise ou de continuité de l'activité doit être envisagée, afin de garantir une remise en service rapide ou immédiate en cas de sinistre majeur (incendie, attentat, etc.). Le principe : dupliquer tout ou partie de l'infrastructure informatique sur un autre site - en général un bunker placé sous haute protection -, et mettre en place un système synchronisant les données régulièrement ou même en temps réel. Trop onéreux ? C'est à voir. Pour Enguerrand de Carvalho, le patron de la société d'informatique Axone, basée à Saint-Martin-d'Hères, les dirigeants ne font pas systématiquement les bons calculs : "Ces données, c'est ce que produisent les salariés. Pour estimer leur valeur, il suffit donc de ramener la masse salariale aux heures ou aux journées de travail qui seraient irrémédiablement perdues en cas d'incident. On réalise ainsi qu'une sauvegarde constitue un investissement judicieux", explique-t-il.

Assurer la confidentialité des données

Protéger l'intégrité des données ne suffit pas, il faut assurer et garantir leur confidentialité. "Dans un environnement économique compétitif, toutes les entreprises, quelle que soit leur taille, ont des données sensibles à protéger. Ne serait-ce qu'une liste de contacts", explique Pascal Lointier, du Club de la sécurité de l'information français (Clusif). "Maintenir à jour un fichier de clientèle avec des contacts, leur adresse et leur numéro de téléphone, les lignes de produits qui les intéressent..., c'est un gros travail, et il n'est pas question de le partager avec nos concurrents", confirme Michel Pilfert, de la société grenobloise Kopram, qui commercialise des lames de scie. Sans compter que "la divulgation d'un simple bulletin de salaire peut faire l'effet d'une bombe dans l'entreprise", souligne Enguerrand de Carvalho. À l'heure des réseaux et de l'Internet, préserver la confidentialité de ses données est une tâche complexe. "Une machine connectée à Internet subit en moyenne trois tentatives d'effraction par jour", rappelle Bernard Boutherin, spécialiste de la sécurité informatique à l'IN2P3, à Grenoble. Dans ce far-west numérique, toutes sortes d'individus mal intentionnés propagent des programmes malveillants, dans le but de dérober des informations ou de prendre le contrôle d'autres machines, pour envoyer en masse des courriers publicitaires non sollicités (spams) ou même attaquer d'autres ordinateurs. Chaque innovation technologique génère de nouvelles failles de sécurité potentielles, dans lesquelles ils ont tôt fait de s'engouffrer. Ainsi, de nouveaux virus ont fait leur apparition sur les réseaux sociaux du Web 2.0 comme Facebook, LinkedIn ou MySpace. Les smartphones, ces téléphones portables qui sont de véritables petits ordinateurs de poche, sont aussi menacés. Même les étiquettes sans contact (RFID), qui servent à valider les titres de transport ou à tracer les produits de consommation, seraient exposées à la malveillance des hackers : des chercheurs néerlandais ont démontré qu'elles pouvaient être piratées pour compromettre un serveur informatique.

Les virus constituent la première cause de perte de données pour une PME.

Contre les virus et autres intrus, se protéger...

Les virus constituent la première cause de perte de données pour une PME (15 % des cas selon l'ENE). Pourtant, un minimum de précautions suffit en général à s'en prémunir. "C'est un peu comme la grippe : une menace sérieuse, mais que l'on sait prévenir et traiter", résume Enguerrand de Carvalho. Outils indispensables : le pare-feu, l'antivirus et l'antimouchard (antispyware). Le premier filtrera l'accès au réseau de l'entreprise - ou à certaines machines du réseau -, tandis que les seconds détecteront les programmes malicieux ayant réussi à franchir la barrière. Attention, les installer ne suffit pas, encore faut-il les configurer correctement et les maintenir à jour. Il existe également des outils plus sophistiqués - et plus coûteux : les logiciels de détection d'intrusion en temps réel (ou IDS, pour intrusion detection systems) sont capables de déceler toute activité suspecte sur un réseau ou un poste de travail - comme un transfert anormal de données. Mais leur usage reste marginal dans les PME.

Trouver les parades aux données nomades

Un degré supplémentaire de complexité a été franchi avec l'information nomade. "Aujourd'hui, il faut pouvoir accéder de n'importe où et n'importe quand aux données de l'entreprise : un véritable casse-tête pour les responsables informatiques", résume Thomas Sarrazin, responsable de l'offre Infrastructure chez Capgemini. De fait, l'information n'est plus stockée sur une seule machine ni même sur un réseau, mais disséminée sur nombre de serveurs, postes de travail, ordinateurs portables, téléphones mobiles, PDA, clés USB... Elle est présente partout où les salariés en ont besoin. L'entreprise peut ainsi se trouver menacée par la perte ou le vol d'un simple ordinateur portable. Un phénomène plus courant qu'il n'y paraît : une PME européenne se fait voler en moyenne quatre ordinateurs par an, révèle une étude du cabinet IDC. Mieux vaut, quand cela arrive, que le contenu soit crypté. Ou mieux encore, qu'il n'y ait rien sur le disque dur : beaucoup d'entreprises construisent désormais leur système d'information autour de serveurs placés sous haute protection, auxquels le personnel se connecte pour travailler. Les salariés nomades y accèdent quant à eux au moyen d'un réseau privé virtuel (VPN), qui crée sur l'Internet une sorte de tunnel inviolable. Une fois la connexion interrompue, aucune donnée n'est conservée sur le poste de travail. La sécurité repose dès lors sur l'efficacité du système d'authentification. C'est souvent là que le bât blesse : 72 % des PME ayant déployé un Extranet se contentent d'une authentification par mot de passe, selon l'ENE. "Les systèmes plus perfectionnés sont encore peu répandus : 30 % des établissements utilisent le chiffrement des échanges, et 21 % ont mis en place un système d'authentification forte, par exemple par le biais de certificats électroniques", explique Anaïs Dupas, de l'ENE.

"On ne parle plus aujourd'hui de sécurité informatique mais de sécurité de l'information."

De la sécurité informatique à la sécurité de l'information

"L'information est partout : c'est pourquoi on ne parle plus aujourd'hui de sécurité informatique mais de sécurité de l'information", explique Pascal Lointier. Avant toute chose, il faut procéder à une évaluation objective des vulnérabilités de l'entreprise. "Incendie, attentat, départ d'un cadre stratégique..., tous les risques doivent être envisagés : inutile d'installer un logiciel de détection d'intrusion sur un serveur installé près de la machine à café", précise le président du Clusif. L'audit doit aussi prendre en compte les risques liés à l'activité de l'entreprise, à son environnement concurrentiel ou encore à ses fournisseurs, afin de déterminer avec précision les ressources et applications à protéger et le niveau de protection qu'il convient de leur appliquer. "Il est indispensable de comprendre le métier pour analyser correctement les risques", résume Thomas Sarrazin. À partir de là, il devient possible d'établir une stratégie, dont la mise en œuvre impliquera le service informatique, mais pas seulement lui. "La sécurité, c'est 20 % de technique et 80 % d'organisation", estime Philippe Garnieri, animateur du Clusif de Grenoble. "Si vous avez dix serveurs mais ne savez pas où se trouvent les informations sensibles, vous devez déployer des protections équivalentes sur tous, et bien souvent vous y renoncez parce que c'est trop cher. En revanche, si votre application est bien conçue, il suffira de regrouper ces données sur une seule machine, à laquelle vous pourrez assurer une protection optimale. La sécurité a un impact structurant sur l'entreprise." La politique de sécurité devra surtout prendre en compte les salariés. Leur implication est essentielle à la réussite du projet. Une charte informatique, détaillant l'usage qui doit être fait du matériel, est un bon moyen de les y sensibiliser. À l'inverse, leur imposer trop de contraintes est parfois contre-productif : "Si vous demandez aux gens de changer de mot de passe tous les trois mois, ils n'arriveront pas à s'en souvenir, et vous aurez toutes les chances de les retrouver écrits sur un Post-it collé sur l'écran", explique Bernard Boutherin. L'ordinateur le mieux protégé reste à la merci d'un utilisateur. Les hackers le savent bien : c'est toujours entre la chaise et le clavier que se situe la plus grande vulnérabilité d'un ordinateur.
C. Chotard

10,5 milliards

C'est, en dollars, le poids du marché de la sécurité informatique au niveau mondial en 2008, selon le cabinet Gartner. La France en représente environ 20 %, soit 1,7 milliard d'euros en 2007.

Un secteur épargné par la crise

Le secteur s'est développé autour de la fourniture de logiciels (antivirus, pare-feu, etc.) et évolue désormais vers le service. Sa valeur dépassera les 13 milliards d'euros en 2013 selon Gartner. Même la crise ne devrait pas enrayer sa progression : c'est l'un des marchés technologiques qui résistera le mieux à la crise. Cette année, les grandes entreprises consacreront 12,6 % de leurs dépenses informatiques à la sécurité (contre 7,2 % en 2007), et les PME 10,1 % (contre 9,4 %), estime l'institut Forrester Research. De fait, la menace ne faiblit pas : la perte de données informatiques aurait coûté aux entreprises 1 000 milliards de dollars en 2008, selon l'éditeur de logiciels de sécurité McAfee !