Flux RSS
PME-TPE, comment lutter contre les nouvelles menaces informatiques venues de l’intérieur ! 
Soumises aux mêmes menaces informatiques que les grands comptes, les PME et TPE ne disposent pas, pour s'en protéger, de moyens identiques en termes de budget, de personnel et d’expérience. Or, 80% des ces menaces proviendraient de l'intérieur du réseau de l’entreprise. Celles-ci rendraient totalement inefficaces les outils de sécurité installés sur les passerelles vers Internet. Pour lutter contre ce risque interne, les PME et TPE doivent développer la formation et la sensibilisation des salariés.
De la clé USB au P2P…
Les nouvelles menaces informatiques sont tout autant générées par de mauvais usages des salariés, que par le manque de perception des dangers liés aux technologies par les responsables des PME/TPE. En cause : l’utilisation de supports de stockage amovibles (CD, DVD, clés USB, iPod, etc...), la messagerie instantanée, le téléchargement de fichiers audio (services de partage de fichiers Peer-to-Peer / P2P), l’envoi d’informations confidentielles par courrier électronique…
Cette situation relève tout autant d’une relative absence de sensibilisation à la sécurité informatique des PME/TPE, que d’un manque de compréhension de leurs collaborateurs concernant l’intrusion de contenus indésirables (virus, cheval de Troie, etc...) dans le réseau, pouvant aboutir à des pertes ou à des fuites de données, ainsi qu’à des problèmes de responsabilité civile.
… logiciels de prise de contrôle à distance compris !
Selon un audit réalisé en mai dernier sur 193 000 postes de travail dans 30 grandes entreprises par l’éditeur de solutions de gestion de la sécurité des postes de travail Promisec, 1 PC sur 8 étaient connectés à des périphériques USB non autorisés, 1 PC sur 25 hébergeait des logiciels P2P et même… 1 PC sur 125 contenait des logiciels de prise de contrôle à distance non autorisés !
Si ces chiffres sont alarmistes - comme le veut la tradition chez les éditeurs de sécurité informatique - et néanmoins frappants, ils sont confortés par une récente « enquête sur la sécurité dans les PME » au niveau européen.
Près de la moitié des salariés ont un comportement à risque
Cette enquête, menée auprès de 750 responsables informatiques et salariés de PME, a révélé notamment que les salariés européens consacrent en moyenne un peu moins de deux heures par jour sur Internet, dont plus d’une demi-heure est passée sur des sites Web sans rapport avec leur travail. Un quart des salariés utilisent le P2P durant leurs heures de travail, 17% se servent de sites de téléchargement de logiciels gratuits au bureau, et 46% des salariés avouent un comportement à risque sur Internet, en visitant des sites pornographiques ou des réseaux sociaux aussi populaires que MySpace et Facebook.
Nombre de PME sans bonnes pratiques
Face à l’utilisation croissante d’applications et de sites Web à risque par leurs salariés, les PME, davantage exposées en cas de vol de données, n'ont cependant pas adopté les bonnes pratiques en matière de sécurité. 6% des PME empêchent le raccordement de périphériques USB et iPod, 22% bloquent le lancement des applications P2P, 30% interdisent les pièces jointes aux messages instantanés et 31% bloquent l'accès aux sites de « phishing » (technique utilisée par des fraudeurs pour obtenir des renseignements personnels).
4 pistes pour changer les mentalités
Pour endiguer ces menaces informatiques internes, 4 bonnes pratiques sont préconisées aux PME/TPE :
- La mise en place d'une charte de sécurité (que les collaborateurs ne sont pas obligés de signer) et d'utilisation des outils informatiques à l'échelle de l'entreprise limite l’ignorance des dangers potentiels et prévient les abus au sein du personnel (cf. modèle de charte d'utilisation Internet)
- Seul le déploiement d'une infrastructure de sécurité à plusieurs niveaux (antivirus, pare-feu matériel, etc...) permet de se confronter à armes égales face aux menaces informatiques
- Compte tenu des contraintes budgétaires des PME - les privant d’un administrateur de la sécurité réseau à plein temps -, les règles d’utilisation d’Internet doivent être automatisées pour garantir la détection et la neutralisation de menaces généralement imperceptibles.
- Enfin, il faut réaliser l'examen et l'optimisation du système de sécurité, afin de mettre à jour et d’en renforcer les règles d’utilisation.
François DOTTANGE
Rédaction de NetPME