Box verre-1

Imprimer

Sécurité informatique et PME

.

Nous rencontrons régulièrement des responsables de PME/PMI dont le discours évolue autour de l'un des deux thèmes suivants :

  • La sécurité informatique ne concerne que les grandes entreprises, ou
  • On m'a installé un boîtier pour protéger mon réseau, je suis complètement sécurisé.

Ces deux attitudes, et leurs variations (c'est trop cher, nous n'avons pas ce problème, nous ne courons aucun risque, etc.), sont erronées et dangereuses, le plus grave étant lorsque l'installateur dudit boîtier a assuré à son client qu'il était totalement sécurisé et qu'il pouvait dormir définitivement sur ses deux oreilles (plus courant qu'on ne l'avoue).

Une entreprise, quelle que soit sa taille, doit s'occuper de sa sécurité informatique. De nos jours, l'outil technique est indispensable au bon fonctionnement de l'entreprise. Il s'agit donc d'une ressource critique. Les périls, les conséquences de l'avènement d' risque et les budgets varient en fonction des entreprises, de leurs domaines d'activités et de leur taille. Au centre de tout cela demeure le besoin de continuer à produire et d'avoir confiance en son système informatique. Une PME n'a, il est vrai, pas toujours la capacité à gérer elle-même sa sécurité informatique, mais cela ne signifie pas qu'elle ne doit rien faire.

La sécurité informatique concerne aussi les PME

Les ressources informatiques d'une PME peuvent subir des attaques pour plusieurs raisons. La plus simple est la même pour laquelle les ordinateurs des particuliers sont attaqués : accéder à des ressources techniques sans en payer le prix. Un réseau d'entreprise peut ainsi être utilisé pour des envois de spams massifs, pour attaquer d'autres sites, bref pour tout ce à quoi les réseaux de zombies sont utilisés de nos jours.

Une PME peut aussi représenter une cible intéressante pour des raisons intrisèques à l'entreprise, par exemple :

  • activité sur un créneau novateur, stratégique, à forte concurrence ou à fort potentiel de développement : le vecteur informatique est alors un excellent outil d'intelligence économique.
  • liens privilégiés avec une entité plus importante (sous-traitance, partenariat, contrat important, etc.) : l'entreprise peut constituer le maillon faible qui, par rebond, permettra d'accéder au système de la seconde entité.
  • situation exceptionnelle (levée de fonds, augmentation de capital, rachat ou absorption par une tierce partie) : l'entreprise représente une valeur financière significative, un incident technique pouvant la dégrader fortement voire l'annuler.

Ces exemples ne sont pas exclusifs l'un de l'autre. Ainsi, dans le cas d'une fusion/absorption, il est possible d'anticiper de (futurs) liens privilégiés (seconde situation). De même, une levée de fonds (troisième cas) signifie généralement que l'entreprise dispose d'un savoir-faire intéressant (premier cas).

Il existe de nombreuses situations dans lesquelles une PME, voire une TPE, peut être victime d'une attaque informatique. Nous n'avons donné là que quelques exemples que nous avons rencontrés, sans aucune volonté d'exhaustivité.