Le pire ennemi de votre connexion Internet est-il assis en face de vous ?

Face aux menaces informatiques internes et externes, le filtrage applicatif et de contenu est un moyen additionnel de prévenir les risques tout en augmentant la productivité de l’entreprise.

La bonne gestion de la connexion à Internet pour une PME ne se résume pas uniquement au déploiement d’un anti-virus et d’un pare-feu. Au-delà des menaces externes bien connues, le mauvais usage de l’outil Internet en interne, volontaire ou non, fait courir des risques réels au réseau et aux données de l’entreprise : lenteur ou inaccessibilité d’Internet, perte de données ou éparpillement des informations sur une multitude de supports, etc. L’usage du filtrage applicatif et de contenu est un moyen additionnel de prévenir ces risques tout en augmentant la productivité de l’entreprise.

Avec l'adoption massive qu'a connu Internet ces dernières années, la frontière entre l'usage privé et professionnel d'Internet tend à s'atténuer. Qui n'a jamais utiliser son ordinateur professionnel afin d'accéder à des fichiers personnels ou des logiciels privés ? Sans parler de la généralisation des ordinateurs portables que l'on utilise avec sa famille et ses amis. En 2007, 75% de l'utilisation Web en entreprise est à usage privé, soit 4 heures par semaine ou encore 24,5 jours par an*.

Adoptés aussi bien à la maison qu'au bureau, les logiciels de messagerie instantanée, les outils dits "Web 2.0", tels que : Facebook, les espaces d'expression comme les blogs et les forums, doivent faire l'objet d'une réflexion au sein de l'entreprise. En effet, l'utilisation d'Internet au sein des PME reste souvent au mieux vague, au pire absolument non contrôlée ou encore totalement interdite, ce qui n'est pas forcément la solution optimale comme nous le verrons plus loin.

Contrairement aux grands comptes, il existe rarement de charte en la matière. Si ces outils permettent une communication simple et rapide, ils ne doivent pas pour autant entrer en concurrence avec les outils de communication professionnels pour lesquels la sauvegarde et l'authenticité peuvent être garantis. De plus, l'utilisation des mêmes outils pour ses besoins personnels et professionnels amène à un certain flou quand aux limites à faire respecter, et peut être une source d'erreurs s'avérant dommageable à l'entreprise.

Au contraire, le tout restrictif n'est pas non plus une solution. Un filtrage trop restrictif sera ainsi perçu comme injuste, parfois à un tel point que trouver un moyen de contournement devient une idée fixe, voire motiver une démission chez les salariés les plus cyber actifs. Les solutions récentes de filtrage applicatif, proposant des critères très fins de contrôle qui peuvent être paramétrés de manière adaptée pour chaque utilisateur avec des notions de plages horaires et de quotas, permettent d'établir des règles raisonnables adaptées à la situation et à l'activité de l'entreprise qui seront ainsi facilement comprises, acceptées et respectées par l'ensemble des collaborateurs.

La perte ou le vol d'informations confidentielles reste, à juste titre, une crainte majeure pour une PME. Selon le type de données perdues, les dégâts peuvent entacher la réputation d'une entreprise, mais aussi être financièrement extrêmement néfastes, voire mettre en danger la pérennité de l'entreprise. Selon une étude récente, 62 % des responsables informatiques français ont affirmé que leur entreprise avait connu une ou plusieurs violations de données impliquant la perte ou le vol d'informations personnelles, telles que des données de consommateurs, de clients, d'employés, etc. L'enquête révèle également que 52 % des infractions en France sont imputables aux utilisateurs internes et seulement 6% aux pirates externes**.

Si la sécurisation de l'accès au système d'information et la limitation de l'utilisation des périphériques de stockage amovibles deviennent de plus en plus systématiques, notamment dans les grands groupes, les restrictions d'usage des messageries électroniques sont souvent insuffisantes. La récente mésaventure de Sarah Palin, candidate républicaine à la vice-présidente, et de son compte de messagerie électronique Yahoo piraté doit nous rappeler, au-delà de l'aspect quasi burlesque de la chose, que l'utilisation d'un outil grand public pour un usage professionnel est à proscrire. On ne peut que conseiller aux PME de limiter voire de bloquer les emails privés pendant les heures de travail. Ces mêmes emails peuvent être néanmoins autorisés pendant la pause déjeuner et après la journée de travail.

Sujet récurrent en ces temps de lutte contre le piratage, les logiciels de téléchargement de contenus vidéo et/ou audio sont également le fléau des accès à Internet partagés. Dans de nombreuses PME, les utilisateurs disposent de droits étendus et peuvent installer des logiciels d'échange de fichiers sur leurs ordinateurs. En les utilisant, ils saturent la bande passante et ralentissent voire bloquent les échanges de données professionnelles. Les pare-feux traditionnels sont impuissants pour bloquer ces logiciels dont les ports changent à chaque connexion.

On prendra donc soin d'acquérir une passerelle de sécurité aux standards actuels et d'activer le filtrage de ces dangereux consommateurs de bande passante. En plus des diminutions des performances du réseau, de risque d'infection par des virus, le téléchargement de contenus en provenance de sites Web illégaux par un collaborateur engage la responsabilité pénale de l'entreprise !

La sécurité des réseaux doit s'adapter aux nouveaux outils et à l'évolution des usages de ces outils. L'enjeu des dernières passerelles UTM de sécurité unifiée n'est plus seulement de contrer les intrusions externes du "méchant pirate anonyme" si présent dans l'imaginaire collectif, ni vous l'aurez compris, de brider totalement l'accès à Internet des salariés. Au contraire, il est de donner aux entreprises un moyen d'appliquer efficacement une politique d'utilisation d'Internet adaptée à leur activité et personnalisable, qui sera ainsi comprise et acceptée par l'ensemble du personnel tout en préservant le bon fonctionnement et la pérennité de l'entreprise.

* Selon l'étude la réalité de l'utilisation du Web en entreprise menée par Olféo (septembre 2007)
** Enquête conjointe de l'Institut Ponemon et de Compuware (20/10/2008)

Test connexion