jeudi 14 décembre 2017

Accueil du site > Intelligence économique > Enquête sur « La sécurité à l’usage des PME et des TPE » - Part (...)

Enquête sur « La sécurité à l’usage des PME et des TPE » - Part II

Dan Diaconu, Phonethik.com

jeudi 28 septembre 2006, sélectionné par Spynews

logo

A l’occasion de la sortie du livre « La sécurité à l’usage des PME et des TPE » dirigé par la commission sécurité de l’association Ténor, Phonethik a posé à ses auteurs quatre questions, histoire d’en savoir plus sur le « comment du pourquoi »...

1- Pourquoi un livre sur la sécurité pour les PME/TPE ?

Jean-Marc Beignon, Consultant et Formateur en Intelligence Economique E=(SC2) : Les PME/TPE ne sont pas toujours conscientes des dangers, en particulier parce que les dirigeants ont ’la tête dans le guidon’, et ne pensent pas être des cibles intéressantes. Ce qui est évidemment faux, car de nombreuses petites entreprises ont un savoir-faire pointu pouvant intéresser des concurrents ou des pays tiers. C’est là que se situe en particulier le lien entre Intelligence Economique et Sécurité, comme deux aspects de la Guerre Economique, l’IE comportant la ’protection du patrimoine immatériel’ (Selon Alain Juillet)

Laurent Treillard, Consultant Sécurité Ageris Consulting : Il existe des ouvrages sur la sécurité, mais le contenu est souvent technique. Or dans ce livre, les sujets abordés sont plutôt organisationnels. Ceci est une véritable valeur ajoutée que le dirigeant d’entreprise saura reconnaître.

Marie-Agnès Couwez, Responsable Développement & Marketing AMESIS : Les PME/TPE sont le coeur de l’économie française avec plus de 90 % du total des salariés. Les 2,5 millions de petites et moyennes entreprises créent de l’emploi, de la valeur, de l’innovation. La sécurité de leur patrimoine numérique est essentielle à la compétitivité économique dans un contexte de mondialisation. Ce livre a pour objectif de sensibiliser les dirigeants de ces structures à la sécurité des systèmes d’information et aux menaces avérées et évolutives liées à l’usage des technologies. Il a pour ambition de leur donner quelques clés pour mieux appréhender les risques et mettre en oeuvre de bonnes pratiques de protection.

Mauro Israel, Senior Manager & RSSI CYBER NETWORKS : La plupart des publications informatiques s’adressent surtout aux informaticiens ou bien aux décideurs des grands groupes industriels et publics. Les publications sur la sécurité informatique sont, soit trop techniques, soit inadaptées aux contraintes budgétaires des PME/TPE. Il était donc important de dédier un livre aux PME/TPE, qui sont souvent négligées dans les publications informatiques et de l’annoncer dès le titre.

Jean-Noël de Galzain, Président de Wallix : Pour s’adresser à ces entreprises en réponse à leurs préoccupations directes, dans un langage accessible comme le ferait un responsable informatique dans une grande entreprise.

2- Une PME/TPE est-elle plus en danger qu’un grand compte ?

Laurent Treillard : Malgré sa différence en terme d’effectifs ou de chiffre d’affaire, une PME/TPE n’est pas plus en danger qu’un grand compte. Il faut relativiser par le fait que la stratégie d’approche de sensibilisation à la sécurité dépend également de la direction générale.

Marie-Agnès Couwez : Une PME et à fortiori une TPE, n’a pas les mêmes moyens qu’un Grand Compte pour gérer au quotidien un environnement numérique sécurisé. Les compétences internes et la dotation en budget sécurité sont souvent très restreintes, voire inexistantes. Ainsi, les PME et TPE semblent plus en danger, ou même faire courir des risques à de grandes entreprises si elles interviennent comme sous-traitantes, éventuellement dans un secteur sensible.

Mauro Israel : Oui une PME/TPE est plus en danger pour trois raisons : a. Une PME ne peut pas se payer des équipes informatiques dédiées à la sécurité et n’a pas moyen de vérifier que le sous-traitant informatique et le fournisseurs internet appliquent des mesures de sécurité adéquates. b. Une PME ne s’aperçoit des menaces que lorsqu’elles se manifestent en déni de service dû à un virus ou un vers, et il est alors bien trop tard ; Aucun système d’alerte ou de mise à jour de sécurité n’est actif en PME ; C’est pour cela que dans le livre un chapitre parle uniquement des mesures urgentes et bon marché à mettre en oeuvre. Ces mesures vont permettre à la PME d’avoir un niveau décent de sécurité proche de celui d’un grand compte mais sans avoir eu à faire de frais d’étude préalable. c. Bien entendu ces protections s’adressent à des attaques provenant de l’Internet, car la PME est surtout connectée à l’Internet, alors que le grand compte fait plutôt partie d’un réseau privé ; Ce cas correspond à la quasi-totalité des PME/TPE françaises et par extension européennes.

Jean-Noël de Galzain : Non, en revanche, elle a moins de moyens pour se protéger. Pour commencer, elle n’a pas les mêmes moyens d’étude et doit plus rapidement s’en remettre à des prestataires externes.

3- Les dangers sont-ils les mêmes pour une PME/TPE que pour un Grand Compte ?

Jean-Marc Beignon : Je relie les deux questions, car de fait, tout dépend des dangers dont on parle. Un grand compte pourra être l’objet de ciblages probablement plus sophistiqués qu’une PME/TPE, comme une tentative de déstabilisation. En revanche, pour ce qui concerne le savoir-faire et le patrimoine immatériel, celui d’une PME/TPE peut être de grande valeur ; et là, pas de différences avec une grande entreprise.

Marie-Agnès Couwez : Les dangers issus du numérique, de l’Internet et du fonctionnement en réseau de l’entreprise, sont de même nature quelle que soit la taille de cette dernière. Par contre, les moyens de gérer les risques divergent et en conséquence l’impact d’un sinistre peut prendre des proportions très différentes.

Laurent Treillard : Des familles de risques peuvent porter préjudice autant à une PME/TPE qu’un grand compte. Cependant, les enjeux métiers étant différents, la gouvernance des risques sera en adéquation avec les menaces encourues.

Mauro Israel : Oui et non : les dangers initiaux sont les mêmes car la plupart des attaques de hackers sont"gazeuses" : elles ne visent pas spécifiquement une adresse IP publique, mais balayent plutôt des plages d’adresses à la recherche de vulnérabilités et d’exploits potentiels. Le grand compte aura à lutter, en plus, contre l’espionnage économique et le déni de service "idéologique" (entreprise du secteur nucléaire ou OGM etc..),et les chantages à la disponibilité (DOS flooding). Les attaques de phishing vont évidemment viser les banques, mais également les PME par l’intermédiaire de la naïveté de leurs dirigeants ou financiers. On voit donc que les menaces sont globalement les mêmes, mais s’adressent différemment en fonction du budget et des ressources humaines disponibles, et enfin du niveau de sensibilisation des utilisateurs. Dans les grands comptes, une sensibilisation des dirigeants remonte le niveau de sécurité effectif. Dans une PME il en est de même.

Jean-Noël de Galzain : A priori oui, si ce n’est que la PME/TPE doit avoir davantage d’armes pour faire le bon choix de prestataires.

4- Est-il moins onéreux pour une PME/TPE qu’un grand compte de se protéger ?

Jean-Marc Beignon : La question du coût est certes importante, mais celle de l’efficacité l’est plus encore. Dans un cas comme dans l’autre, se protéger, tout comme être offensif, est une question avant tout d’état d’esprit insufflé par les dirigeants dans l’organisation. Bien entendu les outils sont importants, mais sans implication personnelle de la direction motivant l’ensemble du personnel, ils ne servent - presque - à rien.

Laurent Treillard : Les fournisseurs adaptent leurs offres selon le type de structure. Les coûts sont normalement proportionnels selon le besoin et la demande.

Marie-Agnès Couwez : Là où un Grand Compte pourra obtenir des réductions compte tenu du volume de ses achats, la PME ne pourra négocier dans les mêmes termes. Une TPE pourra choisir des solutions de sécurité de base, gratuites ou peu coûteuses, qui peuvent être tout à fait satisfaisantes, à condition d’être correctement paramétrées. Ce dernier point renvoie à la qualification du personnel, à la formation d’au moins une personne en charge de la SSI et à la sensibilisation de l’ensemble du personnel.

Mauro Israel : Oui, par "construction" une PME/TPE n’a aucun budget et aucune ressource à consacrer à la sécurité. Elle va donc adresser le problème en mode réactif en fonction des attaques avérées, et du fait qu’elle est gênée dans son travail : perte des e-mails, perte de la connexion Internet, dysfonctionnement de l’imprimante ou de Word. Chaque fois que je suis intervenu en PME/TPE, il fallait d’abord décontaminer et remettre en état tous les PC et les serveurs, puis installer le firewall et les anti malware pour protéger le système. Dans le cas des écoles ou organismes de formation, le plus rapide est carrément de formater le disque et de remettre la machine en état "sortie du carton", puis de restaurer un "master". L’objectif de ce livre est donc bien de permettre à la PME/TPE de se protéger à moindre coût, et d’expliquer à des non-informaticiens de manière simple et concrète les menaces qui pèsent sur leur système d’informations, et comment les enrayer.

Jean-Noël de Galzain : Que ce soit pour une PME ou une grande entreprise, les moyens de mieux se sécuriser avec des coûts moindres existent et dépendent de la capacité du décideur à s’engager sur la voie du changement, avec des choix modernes, en n’hésitant pas à s’engager sur des technologies nouvelles et des logiciels libres. L’essentiel pour une PME aujourd’hui, c’est de choisir la technologie la plus complète associée à l’offre de services la plus lisible et la plus appropriée, avec des coûts à la mesure de son budget. C’est une lapalissade, encore faut-il la garder à l’esprit.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :