Sécurité informatique et PME
Nous rencontrons régulièrement des responsables de PME/PMI dont le discours évolue autour de l'un des deux thèmes suivants :
- La sécurité informatique ne concerne que les grandes entreprises, ou
- On m'a installé un boîtier pour protéger mon réseau, je suis complètement sécurisé.
Ces deux attitudes, et leurs variations (c'est trop cher, nous n'avons pas ce problème, nous ne courons aucun risque, etc.), sont erronées et dangereuses, le plus grave étant lorsque l'installateur dudit boîtier a assuré à son client qu'il était totalement sécurisé et qu'il pouvait dormir définitivement sur ses deux oreilles (plus courant qu'on ne l'avoue).
Une entreprise, quelle que soit sa taille, doit s'occuper de sa sécurité informatique. De nos jours, l'outil technique est indispensable au bon fonctionnement de l'entreprise. Il s'agit donc d'une ressource critique. Les périls, les conséquences de l'avènement d' risque et les budgets varient en fonction des entreprises, de leurs domaines d'activités et de leur taille. Au centre de tout cela demeure le besoin de continuer à produire et d'avoir confiance en son système informatique. Une PME n'a, il est vrai, pas toujours la capacité à gérer elle-même sa sécurité informatique, mais cela ne signifie pas qu'elle ne doit rien faire.
La sécurité informatique concerne aussi les PME
Les ressources informatiques d'une PME peuvent subir des attaques pour plusieurs raisons. La plus simple est la même pour laquelle les ordinateurs des particuliers sont attaqués : accéder à des ressources techniques sans en payer le prix. Un réseau d'entreprise peut ainsi être utilisé pour des envois de spams massifs, pour attaquer d'autres sites, bref pour tout ce à quoi les réseaux de zombies sont utilisés de nos jours.
Une PME peut aussi représenter une cible intéressante pour des raisons intrisèques à l'entreprise, par exemple :
- activité sur un créneau novateur, stratégique, à forte concurrence ou à fort potentiel de développement : le vecteur informatique est alors un excellent outil d'intelligence économique.
- liens privilégiés avec une entité plus importante (sous-traitance, partenariat, contrat important, etc.) : l'entreprise peut constituer le maillon faible qui, par rebond, permettra d'accéder au système de la seconde entité.
- situation exceptionnelle (levée de fonds, augmentation de capital, rachat ou absorption par une tierce partie) : l'entreprise représente une valeur financière significative, un incident technique pouvant la dégrader fortement voire l'annuler.
Ces exemples ne sont pas exclusifs l'un de l'autre. Ainsi, dans le cas d'une fusion/absorption, il est possible d'anticiper de (futurs) liens privilégiés (seconde situation). De même, une levée de fonds (troisième cas) signifie généralement que l'entreprise dispose d'un savoir-faire intéressant (premier cas).
Il existe de nombreuses situations dans lesquelles une PME, voire une TPE, peut être victime d'une attaque informatique. Nous n'avons donné là que quelques exemples que nous avons rencontrés, sans aucune volonté d'exhaustivité.
La protection par un boîtier ne suffit pas
Quelles que soient les performances et la qualité du boîter placé entre Internet et le réseau de l'entreprise, il ne suffit pas. C'est un composant nécessaire, mais ce n'est pas un élément suffisant. Posez-vous simplement les questions suivantes :
- comment se fait-il que, sur des réseaux normalement isolés du reste du monde et gérés par des entités disposant de moyens parfois colossaux, les ordinateurs puissent malgré tout subir des attaques de virus ?
- quelle protection vous reste-t-il si votre boîtier est accidentellement mal configuré, défaillant ou tombe en panne ? S'il est débranché ou désactivé (le temps d'une maintenance par exemple) ?
- que fait votre boîtier, en quoi contribue-t-il a améliorer votre sécurité, quels risques précis bloque-t-il, mitige-t-il ou dévie-t-il ?
- votre site web n'est pas derrière votre boîtier mais hébergé par une tierce partie. Quels sont les éléments de sécurité que vous avez mis en place pour le protéger ?
- que se passe-t-il si on ajoute un ordinateur sur votre réseau ? Que peut voir ou faire cet ordinateur, surtout s'il ne vous appartient pas ?
- chaque année, combien de personnes n'appartenant pas, stricto sensu, à votre entreprise peuvent-elles se trouver dans vos locaux avec un accès à votre réseau ?
- combien de liens informatiques avez-vous avec d'autres entreprises ?
- comment contrôlez-vous l'utilisation que font vos collaborateurs des ressources informatiques, et tout particulièrement de la connexion vers Internet de l'entreprise ? Comment envisagez-vous de gérer la responsabilité qui est vôtre en cas d'utilisation illégitime (voire illégale, ce qui est certes un cas rare mais nullement impossible) de vos ressources informatiques par l'un de vos collaborateurs ?
Ces questions ont pour simple but de vous amener à réaliser que le boîtier placé entre votre réseau et l'Internet, à lui tout seul, ne peut pas protéger de manière correcte vos ressources informatiques. Un outil de ce type est nécessaire, mais pas suffisant.
Que peut faire une PME vis-à-vis de sa sécurité informatique ?
Les tâches liées à la sécurité sont nombreuses, et une PME ne peut pas faire l'impasse sur celles-ci. Cependant, elle n'a pas toujours la capacité technique et humaine à les aborder de façon adéquate. La sécurité demande
- un suivi régulier,
- des compétences techniques précises, en constante évolution,
- des capacité de veille ou de réaction rapide.
La nécessité de suivi élimine de facto des interventions extérieures faites par des personnes différentes : il est alors nécessaire que l'intervenant réapprenne l'organisation du réseau, les spécificités liées à l'activité, aux outils ou à tout autre paramètre associé à l'entreprise, etc. Ces interventions ponctuelles restent possibles, voire nécessaires si aucune autre solution n'est mise en place, mais elles ne sont pas optimales du point de vue technique et financier.
Une solution : le RSSI à temps partiel
La sécurité et la gestion des risques sont des tâches critiques et récurrentes, qui doivent être prises en compte tout au long de l'année. Depuis plusieurs années, B&A Consultants propose une offre de suivi de ses clients, offre qui s'inscrit sur la durée. Il s'agit d'un contrat d'intervention, l'un de nos collaborateurs étant régulièrement dans vos locaux afin d'y remplir le rôle de RSSI. Vous disposez ainsi :
- de compétences avérées,
- d'une connaissance de votre environnement de la part de nos intervenants,
- d'un suivi de vos évolutions et de vos besoins,
- de capacité d'anticipation et de réaction, notamment lors de l'apparition de nouveaux périls.
La tarification de cette offre est faite en fonction du périmètre technique de chaque client et de la fréquence de présence sur site, en prenant en compte tout autre paramètre influant sur les tâches à réaliser. Il s'agit d'une offre souple, en cela que B&A Consultants s'adapte à vos projets et à vos besoins, notamment sur le plan calendaire : si un nouveau projet demande une présence plus soutenue du RSSI, le calendrier sera adapté en fonction.
N'hésitez pas à nous contacter pour toute information sur cette offre, destinée tout particulièrement aux PME/PMI.