 |
|
| |
 |
Guillaume Romestant
Directeur
technique
Orentis |
|
Guillaume
Romestant
"Il y a des automatismes en matière de sécurité dont les dirigeants de PME-PMI ont conscience"
Société de services informatique adressant les PME-PMI sur le thème de la sécurité, Orentis analyse de ce point de vue les forces et faiblesses de leurs systèmes d'information.
11/07/2005 |
| |
|
|
JDN Solutions. Quel est le
correspondant privilégié sur les thèmes de la sécurité
informatique dans les PME ? Le directeur informatique ?
Guillaume Romestant. Non, dans les PME-PMI nos
interlocuteurs principaux peuvent être d'une part des
interlocuteurs financiers ou d'autre part les décideurs.
Le problème est alors de parler technique, bien souvent
la PME nous laisse les mains libres ce qui implique d'établir
au préalable une relation de confiance entre le client
et le prestataire. Très peu d'entre elles disposent de
compétences internes, parfois même il n'existe pas d'entité
informatique. Au delà de 150 utilisateurs, les choses
se formalisent et l'on rencontre alors des techniciens
de premier niveau, plus rarement des ingénieurs.
Les décideurs sont-ils suffisamment
informés face aux menaces informatiques ?
En général, les directeurs de l'entreprise ont été bien
sensibilisés aux problèmes de la sécurité informatique
et prenne à cur ce sujet. Notre rôle consiste par ailleurs
à les tenir au courant de l'évolution des risques informatiques.
Toutefois, les dirigeants de PME se trouvent généralement
sans compétences pour évaluer les menaces, même sur des
sujets tels que la mise en place d'une connexion Internet
en entreprise.
Il
y a des automatismes que les dirigeants ont conscience,
notamment l'ouverture sur Internet. Par contre, dès lors
qu'il s'agit de l'accès interne, la sécurité réseau ou
l'authentification, il existe un réel décalage entre ce
qui devrait être fait et ce qui l'est réellement. Ce retard
s'explique à mon avis par des limites en terme de moyens
et par des freins utilisateurs, utilisateurs réticents
lorsqu'il s'agit de mettre en place un système de mot
de passe sécurisé. Mais ces problèmes-ci sont historiques
et ont toujours été ainsi sur ce secteur.
La sécurité est-elle considérée
comme un domaine à part entière ou comme une nécessité
à l'occasion d'un autre projet informatique ?
Dans le cas des projets d'accès distants via des ordinateurs
portables par exemple, c'est souvent à nous d'amener la
réflexion de la sécurité, les dirigeants veulent d'abord
que le système marche et réponde à leurs besoins, ils
pensent d'abord métier. Pour le cas par contre d'une ouverture
de l'informatique interne dans un cadre d'échanges d'informations
B to B, la réaction sera différentes. Comme l'application
s'avère plus lourde à déployer, la réflexion est menée
avec plus de moyens et la sécurité pas prise à la légère
car si une faille de sécurité se produit, le client ou
le fournisseur pourra accéder à des informations privées.
|
|
 Les
DSI n'ont pas le dernier mot" |
|
Lorsqu'un directeur informatique
est présent au sein d'une PME, quel est son rôle et
où s'arrête ses attributions ?
Ils comprennent bien les besoins en matière de sécurité
et restent assez autonome. Lorsqu'ils ont réellement
besoin, ils demandent alors de l'assistance mais par
contre ils n'auront pas le dernier mot dans l'entreprise.
C'est toujours la direction générale qui prendra la
décision de faire ou ne pas faire car tout projet informatique
possède un caractère financier relativement important
dans une PME.
Un DSI d'un grand compte dispose d'un budget avec lequel
il doit composer, alors que dans une PME, le directeur
informatique se charge de synthétiser la demande, la
chiffrer puis demande l'autorisation pour réaliser le
projet. Il est aussi le seul à avoir une vision globale
de l'infrastructure informatique de la société, pour
cela il pilote la prestation informatique et demande
les devis.
Comment doit-il s'y prendre
pour 'vendre' les projets de sécurité informatique à
la direction générale ?
En général, pour les sujets qui tournent autour de l'antivirus
ou du filtrage Internet, la sécurité est assez facile
à vendre car les exemples d'incidents ne manquent pas.
Par contre, sur le reste c'est à dire l'authentification
interne, la sécurisation des archives : ce ne sont clairement
pas des projets prioritaires dans les PME-PMI. Il faut
donc savoir juger l'utile et le superflu et ne pas partir
sur des projets à budget trop colossaux. Par exemple,
une entreprise ayant un fort turnover au niveau du personnel
aura davantage intérêt à mettre en place une solution
d'authentification forte qu'une petite entreprise familiale.
|
|
Les
VPN sont actuellement très demandés" |
|
Quelles sont les technologies
de sécurité en vogue chez les PME-PMI ?
Le VPN, SSL pour les technologies sans client ou IPSec
pour les clients lourds. Ces solutions sont actuellement
très demandés et de plus en plus de PME-PMI en ont besoin.
Le filtrage Internet, le pare-feu et l'antivirus s'installent
en même temps que l'entreprise se lance sur Internet.
Les entreprises sont conscientes des risques véhiculés
par le courrier électronique. En revanche, le cryptage
des données n'adresse que peu d'entreprise, malgré nos
efforts de sensibilisation notamment sur les postes
nomades. Ca ne rentre pas dans les murs, de même que
le contrôle d'accès au réseau interne. La télédistribution
de patchs est quant à elle, très très rare.
Y a t'il des offres plus
adaptées au contexte de ces entreprises ?
Le mode hébergé ou ASP ne séduit pas encore complètement
les PME. Pour les problématiques de gestion des e-mails,
ces solutions se vendent assez bien mais pas pour le
reste. Les PME-PMI ne sont pas encore prêtes à externaliser
complètement leur informatique, ce qui signifierais
placer tous les fichiers confidentiels hors de l'entreprise.
Par contre, les directions préfèrent recourir à de l'infogérance
à distance de solutions de sécurité via des contrats
de maintenance.
|
|
Les
services en logiciels libres ont beaucoup
mûri" |
|
Pour tout ce qui s'effectue en interne, le marché tend
vers le mode boite qui fait tout avec une maintenance
directe du constructeur. Les entreprises préfèrent avoir
une seule ligne budgétaire, ce qui simplifie la comptabilité,
et permet de bénéficier automatiquement des évolutions
du matériel.
Quel constat peut-on dresser
aujourd'hui de la sécurité dans les PME ?
Nous observons une augmentation des projets de sécurité
sur ce serveur. Internet y ait pour beaucoup, car c'est
le facteur principal amenant les risques dans l'entreprise.
Même si elles n'y pensent pas forcément au début, Internet
devient vite un problème. L'offre tend vers des solutions
de location ou de bail afin de permettre aux petites
sociétés d'échelonner l'acquisition d'une solution de
sécurité.
Il va en outre falloir que les tarifs baissent sur la
plupart des produits, ce qui risque de se produire car
le marché commence à intéresser de plus en plus d'éditeurs.
Notamment chez les antivirus, nous voyons beaucoup d'efforts
en terme de tarifs préférentiels aux PME. Nous essayons
aussi de trouver des alternatives dans le monde du logiciel
libre.
Aujourd'hui lorsque deux serveurs sont vendus en PME,
l'un d'entre eux fonctionne sous Linux. Pourtant, il
y a deux ans seulement Linux était considéré comme une
solution de bidouilleur. Les services en logiciels libres
ont beaucoup mûri et séduisent encore davantage les
PME que les grands comptes pour l'économie budgétaire
réalisée sur les licences. |
| |
Propos recueillis par Yves DROTHIER, JDN Solutions |
|
|
PARCOURS
|
|
|
| |
Guillaume Romestant, 29 ans, est directeur
technique d'Orentis.
2001-2005 Consultant sécurité
et réseau pour Europe 1, Fortis, RMC, Disneyland,
L'Oréal, Deloitte & Touche, Synagir,
Mairie d'Eaubonne, Hôpital du Vésinet
et le CIG de la petite couronne
2001-2002 Consultant système et réseau
pour CIC crédit mutuel et Crédit Lyonnais
1997-2000 Administrateur réseau pour
l'UE-CIC salle des marchés
Et aussi DEST système, réseau
et multimédia à la CNAM
|
|
|
|
|
|
|
Sécurité dans les PME