"Toute entreprise doit intégrer les standards de sécurité informatique"

Les données d’une société valent de l’or. Chaque PME doit mettre en place une ligne de conduite stricte pour préserver leur confidentialité.

Le scandale autour des écoutes illicites de l'Agence nationale de la sécurité américaine, la NSA, suscite l'émoi et un vaste débat sur la confidentialité des données dans le monde entier. Les entreprises ne sont pas épargnées, loin de là: elles se retrouvent souvent en ligne de mire, subissant des attaques de leurs systèmes numériques. Le point sur la question avec Bernhard Plattner, professeur spécialisé en sécurité de l'informatique à l'ETH Zürich.

De quels moyens disposent les PME suisses pour gérer la sécurité de leurs systèmes informatiques?

Bernhard Plattner: De nombreuses petites entreprises ne sont pas assez expertes en la matière et doivent faire appel à des ressources externes pour s'organiser de manière optimale. Par exemple, elles peuvent s'adresser à des consultants spécialisés et se faire conseiller. L'option de l'outsourcing nécessite néanmoins d'avoir une extrême confiance dans la société mandatée pour gérer le réseau informatique. Une fois que le système de sécurité des données est opérationnel, les sociétés doivent effectuer des tests pour s'assurer que ce qui a été mis en place est suffisant. Les défenses de la PME sont ainsi contrôlées. Cette dernière procédure implique néanmoins un certain coût pour une entreprise.

Quel est votre premier conseil pour renforcer la sécurité informatique d'une PME?

Plattner: Il faut vraiment bien contrôler que les pratiques conventionnelles dans le domaine - les standards - soient bien mises en place. Par exemple, des firewall (pare-feu) doivent être installés pour protéger la société d'un accès non autorisé en provenance de l'extérieur. Ensuite il faut penser à s'inquiéter des malware (pour "malicious software", des logiciels mal intentionnés qui s'attaquent aux données). Dans ce domaine, il existe des composantes informatiques à installer et qui sont destinées à contrôler le trafic des données qui rentrent et sortent de la PME et qui peuvent détecter la présence d'un malware. L'installation de logiciels antivirus permet aussi de filtrer les programmes ennemis. Enfin, le filtre à spam doit être activé de manière continue, car il permet de bloquer une bonne fraction des courriels non désirés.

Qu'est-ce que les PME cherchent le plus à protéger?

Plattner: Leur confidentialité. L'entreprise doit absolument empêcher les données sensibles et propres à son activité et à ses produits de sortir de son contrôle. Il existe des systèmes (data loss protection) qui aident à se protéger des voleurs d'informations.

Quelles questions doit se poser un dirigeant de PME en terme de sécurité informatique?

Plattner: Il doit établir quels sont les risques qui peuvent survenir et menacer sa société. Le CEO doit avoir une idée claire sur ce qui est critique pour la continuité de la marche des affaires. S'il ne l'a pas défini avec précision, il faut qu'il prenne du temps pour mener cette réflexion. Ensuite, il doit déterminer avec soin quelle est l'information essentielle qu'il souhaite protéger en priorité. Il peut s'agir de données sur les produits ou sur les collaborateurs. Une attaque ennemie a par exemple le potentiel d'empêcher le fonctionnement d'un service: si un site de commerce en ligne est mis hors service, il ne pourra rien vendre du tout. Cette situation entraînera des pertes financières.

Que recommandez-vous en matière de sauvegarde des données?

Plattner: L'entreprise doit disposer d'une stratégie de backup. Toutes les informations essentielles doivent être conservées sur deux sites, une fois en local et une fois hors de la société. Non seulement, l'employé sauvegarde son travail sur son poste informatique, mais les informations de son ordinateur sont également régulièrement sauvées sur un serveur.

Formellement, comment aborde-t-on le thème de la sécurité au sein d'une PME?

Plattner: Il faut éditer une politique de la sécurité qui mentionne ce qui est autorisé et ce qui ne l'est pas dans le cadre du travail. Il est aussi nécessaire de définir les accès des différents collaborateurs. Dans la pratique, les règles édictées sont clairement communiquées aux utilisateurs, qui comprennent ainsi comment la sécurité informatique est gérée au sein de leur entreprise. Il s'agit de réaliser un travail d'éducation et de sensibilisation auprès des employés.

Choisir un bon mot de passe est également un exercice difficile...

Plattner: En effet. Comme sa fonction est très importante, il doit être choisi avec grand soin. Et bien sûr, il est nécessaire créer un mot de passe différent pour chaque compte utilisateur. Réutiliser une même clé pour divers systèmes est une erreur, car si l'un d'entre eux est compromis, tous les autres le sont immédiatement. De nombreux mots de passe sont faciles à découvrir, car ils ne sont pas très évolués, souvent en lien avec le nom du détenteur ou des éléments proches de sa vie. La meilleure façon de le choisir est d'utiliser un programme qui en sélectionne un au hasard. En parallèle, il existe des logiciels pour conserver les mots de passe des employés de manière cryptée.

Que préconisez-vous pour envoyer un courriel?

Plattner: Le moyen le plus sûr reste de les crypter. Techniquement, c'est possible, mais en pratique, cela reste laborieux et très complexe à mettre en oeuvre. En effet, le destinataire ne peut pas décrypter le courriel sans avoir en sa possession le mode d'emploi de la manière dont il a été codé et les clés cryptographiques nécessaires.


Informations

Biographie

Portrait de Bernhard Plattner, professeur spécialisé en sécurité de l'informatique à l'ETH Zürich.

Bernhard Plattner travaille comme professeur de "computer engineering" à l’Ecole Polytechnique Fédérale de Zürich (EPFZ). Il y dirige le groupe système de communication. Tout au long de sa carrière, il a participé à de nombreux projets nationaux et internationaux de recherche liés aux réseaux informatiques. Parmi ses domaines de prédilection, il s’est notamment intéressé à la sécurité de l’information et aux réseaux de communication mobile. Bernhard Plattner a dirigé la faculté d’électricité à l’EPFZ de 1996 à 1998 et il a officié comme vice-recteur de la même institution de 2005 à 2007. Il est membre de l’ISSS (Information Security Society Switzerland).

Dernière modification 20.08.2015

Début de la page

https://www.kmu.admin.ch/content/kmu/fr/home/actuel/interviews/2013/entreprise-doit-integrer-standards-securite-informatique.html