Sécurité : les bonnes intentions toujours portées par une stratégie incohérente

A défaut d'améliorer nettement la sécurité informatique des entreprises européennes, les attaques recrudescentes depuis le début 2000 ont eu au moins le mérite de réveiller les cabinets d'études et de conseil. Depuis quelques mois, (presque) tous se sont lancés dans des enquêtes sur le sujet, constatant d'une part une réelle sensibilisation du public, et de l'autre sa méconnaissance des problématiques de base conduisant à des stratégies inadaptées. A présent, c'est au tour d'IDC de revenir sur la question et de noter positivement que les trois quarts des entreprises européennes auraient, dans les faits, déjà pris des mesures sur le terrain pour se protéger.

Mais pour le cabinet d'études international, les progrès s'arrêtent ici. En effet, les mesures prises apparaissent ne pas convenir dans le cadre d'ouverture imposé aux entreprises par les technologies Internet et leurs implications organisationnelles. Selon IDC, les protections mises en place se concentrent sur les virus et les attaques perpétrées par des pirates situés à l'extérieur de l'entreprise. Du coup, elles ne tiennent compte ni des collaborateurs ni des partenaires disposant d'accès privilégiés au système d'information, alors que ceux-ci seraient impliqués dans une majorité des cas. Mais ce n'est pas tout. En effet, de nombreuses entreprises investissent en général dans un ou deux systèmes de sécurité, non pris en compte au sein d'une politique globale. Or, sans cette dernière, les risques demeurent élevés car la majorité des canaux ne sont pas couverts et le personnel n'est pas éduqué.

Ainsi, IDC note que, parmi les entreprises ayant mis en place des systèmes de sécurité, 97 % ont installé un ou plusieurs antivirus. ILoveYou et ses acolytes semblent donc avoir suffisamment secoué l'opinion. Mais en l'absence d'une politique globale, nombre d'entre elles pourraient ne pas avoir clairement défini leurs procédures de mise à jour. Au delà de cette étape simple et en général peu onéreuse, les entreprises se montrent de plus en plus timides suivant la complexité et les coûts grandissants des solutions mises en oeuvre. De telle sorte, si 67 % d'entre elles ont recours aux traditionnels pare-feux, elles ne sont plus que 9 % à bénéficier d'infrastructures à clefs publiques PKI pour garantir l'authentification des utilisateurs. Mais selon IDC, ces mauvais résultats devraient être de courte durée au vu de l'importance que prendra le virtuel, dans le contexte d'explosion de l'e-business que prévoit le cabinet d'études sur le continent européen. [François Morel, JDNet]