Le nécessaire éveil à la sécurité des PME

Non prioritaire pour les PME, la sécurité s'avère pourtant nécessaire. Après identification de leurs actifs sensibles, les entreprises peuvent opter pour des services externalisés, des boîtiers tout-en-un ou des RSSI à temps partiel.

Dans un ouvrage pratique consacré à la sécurité des TPE et PME, l'ex-ministre Renaud Dutreil soulignait en préface le potentiel de croissance et d'emploi représenté par les petites et moyennes entreprises.

Un potentiel qui pouvait être directement mis en péril par une exposition de leur système d'information. En effet, au même titre que les grandes entreprises, l'activité des PME repose très fortement sur l'informatique. Une indisponibilité du SI peut par conséquent se traduire par leur paralysie.

Sans négliger la sécurité, les PME se heurtent à la limitation de leurs moyens. Le prix des produits de sécurité et des compétences pour les administrer peuvent en effet être rédhibitoires pour des entreprises dont les budgets seront prioritairement consacrés à des tâches générant un profit comme la R&D ou le marketing.

Si une prise de conscience émerge progressivement, plusieurs freins limitent encore cette irrigation à l'ensemble du tissu économique constitué par les PME (95% des 750 000 sociétés représentées par le Medef sont des PME).

"Leur première difficulté est d'identifier quel est leur patrimoine informatique sensible et où il se situe afin de prendre les mesures adaptées pour le protéger. Or les PME éprouvent des difficultés à le faire en interne, et plus encore en externe pour des questions de coûts. Le choix des solutions découle pourtant directement de cette première étape", insiste Philippe Rondel, directeur technique France de Check Point.

"La sécurité est un processus qu'il faut faire vivre" (P. Rondel - Check Point)

Le premier risque pour une PME est sans doute l'indisponibilité qui peut résulter notamment d'une perte de données. Difficile pour une société de cette taille de mettre en place une complexe architecture de restauration de données, ou plus globalement un plan de reprise informatique. Toutefois après avoir un temps boudé les PME, les offreurs de produits de sécurité s'intéressent enfin à elles avec des solutions adaptées, également sous forme de services Web.

"La prise en compte de la sécurité ne se borne pas à la simple mise en œuvre de produits de sécurité. C'est un processus qui doit être alimenté, qu'il faut faire vivre. Il s'agit notamment d'analyser les logs. Nombre d'entreprises ne disposent pas de suffisamment de temps pour entreprendre ces actions. Certaines se tournent ainsi vers des tiers comme les MSSP. La difficulté est alors de trouver des prix adaptés pour ces prestations conçues à l'origine plutôt pour les grands comptes", développe Philippe Rondel.

Afin de pallier les risques de perte de données, un chef d'entreprise pourra par exemple souscrire à un service de sauvegarde externalisée. Grâce à des clients logiciels, les informations sont alors stockées de manière incrémentale auprès d'un prestataire. En cas de sinistre ou de pannes matérielles, comme un crash de disque dur, les données peuvent être restaurées dans des délais plus ou moins brefs.

De la même façon, les dirigeants de PME peuvent se tourner pour l'administration de la sécurité vers les MSSP, des prestataires comme Risc Group. Ce dernier s'appuie notamment sur des boitiers de sécurité multifonction dont il assure lui-même l'exploitation à distance. Les entreprises disposent alors d'une sécurité à plusieurs niveaux (messagerie, pare-feu, antivirus, etc.) et d'un service d'alerte en cas d'incident.

"Les relais pour la sensibilisation des chefs d'entreprise sont encore trop rares" (P. Rondel - Check Point)

Mais avant d'envisager des mesures en termes de sécurité, les dirigeants de PME doivent également prendre conscience des risques pour leur activité et donc être sensibilisés. Le principal comportement à risque serait en effet de se désintéresser de la question. En outre, sans implication et communication de la direction, il est peu probable que le personnel adopte les bonnes pratiques, notamment en matière de protection du poste de travail et de navigation sur Internet.

Le développement de la mobilité dans les PME avec l'essor des flottes de mobiles, dont certains peuvent embarquer des données critiques pour l'entreprise, devrait amorcer un véritable engagement en matière de sécurité. Des pertes ou des vols d'informations peuvent en effet la plonger dans une situation de crise. Sans généraliser l'usage du chiffrement à tous les postes, les PME peuvent par exemple identifier leur patrimoine sensible et les utilisateurs le manipulant afin de leur appliquer des mesures de sécurité adaptées.

Pour prendre en charge la gouvernance de la sécurité, des sociétés de sécurité dont B&A Consultants ont aussi développé des prestations de RSSI partagé. Un expert est ainsi détaché à temps partiel dans l'entreprise selon une fréquence contractualisée. Ce mode au forfait permet de lisser la charge, d'une façon comparable à la souscription d'offres en ASP.

L'implication de la direction passe en partie par la rédaction d'une charte informatique. Cette dernière devra respecter trois grands principes que sont la transparence, la proportionnalité et la discussion collective. Quant à la sensibilisation des chefs d'entreprises, "les relais sont encore trop rares, notamment parmi les organismes publics, regrette Philippe Rondel. Une structure bien identifiée chargée de cette mission serait nécessaire". Des CCI comme celle du Pays d'Arles ont pris des initiatives, mais elles sont très inégales d'une région à l'autre.