A lire également

Panorama des IDS L'identification biométrique

De lourdes pertes
C'est en tout cas l'opinion de 138 dirigeants américains aux commandes d'entreprises de toutes tailles, recueillie par PricewaterhouseCoopers - en collaboration avec la chambre de commerce américaine et l'American Society for Industrial Security. Ce rapport intitulé "Trends in propriétary information loss" en accès libre sur Internet montre que la sécurité intérieure est la première préoccupation des entreprises américaines, qui ont fait à 40 % la désagréable expérience d'une perte de données stratégiques.

Les entreprises sondées veulent avant tout éviter la perte de leurs fichiers client. Dans la hiérarchie de leurs craintes, on trouve ensuite les données financières, les résultats de la R&D, les informations relatives aux fusions-acquisitions, les plannings stratégiques, etc ... Par extrapolation, les déboires des enteprises américaines leur auraient coûté au total la considérable somme de 59 milliards de dollars sur un an, réparties pêle mêle en pertes d'avantages compétitifs, pertes de revenus, accroissement des dépenses juridiques, etc ... Un chiffre qui fait réfléchir.

Surveiller tout le monde
Mais d'où vient précisément la menace ? Les équipementiers sont ceux que les dirigeants regardent de l'oeil le plus méfiant, suivis de près par les prestataires de service et les partenaires stratégiques. Quant aux dangers externes, ils arrivent loin derrière : on trouve en première position les pirates informatiques, suivis de près par les concurrents locaux de l'entreprise. Le mythe du "hacker" (terme par ailleurs impropre) qui moissonne à distance des informations stratégiques semble avoir fait long feu. Une étude de NSC Technology datée de 2001 vient confirmer l'expérience des décideurs américains : 10 % seulement des attaques sur les systèmes informatiques d'entreprise sont dues à des pirates. Le danger vient clairement de l'intérieur des murs.

L'informatique est le noeud du problème : le rapport de PwC montre que la prolifération des systèmes d'information a facilité la tache des espions industriels, et permis une croissance spectaculaire des incidents. Mais l'outil informatique porte également en lui des garde-fous efficaces, que de nombreuses entreprises devraient utiliser à meilleur escient. En déplaçant notamment leurs effort des frontières de l'entreprises - avec les traditionnels firewalls et autres IDS - vers le coeur de l'enteprise : les postes utilisateurs.

Quelques règles élémentaires
La règle d'or consiste à se méfier de tous les utilisateurs, et à dresser le plus grand nombre d'obstacles possibles sur le chemin des espions potentiels. Aucun poste n'est à l'abri des regards indiscrets, et chaque point d'entrée au réseau peut-être utilisé comme un point d'attaque. D'où l'intérêt de prendre l'administration des mots de passe très au sérieux, et de développer une forte culture de la sécurité informatique chez les utilisateurs, ce qui nécessite un véritable effort d'éducation.

Un poste ne doit bien sûr être accessible que par son utilisateur désigné, dont le mot de passe doit être gardé secret et bien choisi. Aucune composante du réseau ne doit être sous-protégée, même si elle semble inaccessible depuis l'extérieur. Chaque utilisateur doit avoir accès aux données dont il a besoin, et pas aux autres. Les échanges de données stratégiques doivent être cryptés autant que faire se peut. Les comportements utilisateur anormaux doivent être détectés à l'aides d'IDS. Dans l'idéal, les accès physiques à l'entreprise devraient même être étroitement contrôlés, et recoupés avec les données relatives aux accès sur les postes informatiques. Mais attention également à ne pas transformer l'entreprise en "big brother"...