Sécurité informatique et PME

Mise à jour le Lundi, 25 Mai 2009 15:00

Nous rencontrons régulièrement des responsables de PME/PMI dont le discours évolue autour de l'un des deux thèmes suivants :

• La sécurité informatique ne concerne que les grandes entreprises, ou
• On m'a installé un boîtier pour protéger mon réseau, je suis complètement sécurisé.

Ces deux attitudes, et leurs variations (c'est trop cher, nous n'avons pas ce problème, nous ne courons aucun risque, etc.), sont erronées et dangereuses, le plus grave étant lorsque l'installateur dudit boîtier a assuré à son client qu'il était totalement sécurisé et qu'il pouvait dormir définitivement sur ses deux oreilles (plus courant qu'on ne l'avoue).

Les entreprises, quelle qu'en soit la taille, doivent s'occuper de leur sécurité informatique. De nos jours, l'outil technique est indispensable au bon fonctionnement de l'entreprise, et doit être traité comme une ressource critique. Les périls, les conséquences de la réalisation des risques et les budgets varient en fonction des entreprises, de leurs domaines d'activités et de leur taille. Au centre de tout cela demeure le besoin de continuer à travailler et d'avoir confiance en son système informatique. Les PME n'ont, il est vrai, pas toujours la capacité à gérer elles-même leur sécurité informatique, mais cela ne signifie pas qu'elles ne doivent rien faire.

La sécurité informatique concerne aussi les PME

Les ressources informatiques d'une PME peuvent subir des attaques pour plusieurs raisons. La plus simple est la même pour laquelle les ordinateurs des particuliers sont attaqués : accéder à des ressources techniques sans en payer le prix. Un réseau d'entreprise peut ainsi être utilisé pour des envois de spams massifs, pour attaquer d'autres sites, bref pour tout ce à quoi les réseaux de zombies sont utilisés de nos jours.

Une PME peut aussi représenter une cible intéressante pour des raisons intrisèques à l'entreprise, par exemple :

• activité sur un créneau novateur, stratégique, à forte concurrence ou à fort potentiel de développement : le vecteur informatique est alors un excellent outil d'intelligence économique.
• liens privilégiés avec une entité plus importante (sous-traitance, partenariat, contrat important, etc.) : l'entreprise peut constituer le maillon faible qui, par rebond, permettra d'accéder au système de la seconde entité.
• situation exceptionnelle (levée de fonds, augmentation de capital, rachat ou absorption par une tierce partie) : l'entreprise représente une valeur financière significative, un incident technique pouvant la dégrader fortement voire l'annuler.

Ces exemples ne sont pas exclusifs l'un de l'autre. Ainsi, dans le cas d'une fusion/absorption, il est possible d'anticiper de (futurs) liens privilégiés (seconde situation). De même, une levée de fonds (troisième cas) signifie généralement que l'entreprise dispose d'un savoir-faire intéressant (premier cas).

Il existe de nombreuses situations dans lesquelles une PME, voire une TPE, peut être victime d'une attaque informatique. Nous n'avons donné là que quelques exemples que nous avons rencontrés, sans aucune volonté d'exhaustivité.