Gérard Peliks
Responsable marketing solutions sécurité d'EADS Telecom, ce pédagogue-né préside également la commission sécurité de Tenor. À ce titre, il pilote des ouvrages sur la sécurité, dont un sur les PME, tous rédigés par des experts du secteur.
Une PME peut-elle s'offrir une politique de sécurité ?
On peut inverser la question et se demander si une PME peut faire l'impasse sur la sécurité ! La réponse est non, car sa pérennité même serait remise en cause. Le nombre d'attaques et leur complexité ne font qu'augmenter dans toutes les entreprises. En ce qui concerne les PME, la notion de sécurité diffère de celle des grandes entreprises. En apparence, elles sont moins fragilisées, car leurs sites sont moins éparpillés géographiquement. Pour autant, le nombre d'attaques n'en est pas moins élevé. Dès que vous disposez d'adresses IP et de noms de domaine, vous êtes vulnérable. En outre, une PME sensibilise rarement ses salariés. Or, l'employé est bien le maillon faible.Les PME sont-elles victimes d'attaques spécifiques ?
Non, mais elles sont plus vulnérables. Leurs sites web institutionnels, par exemple, peuvent être victimes de défiguration, c'est-à-dire d'une attaque qui va travestir le site et faire perdre sa crédibilité à l'entreprise. Or, une PME réagit moins vite et n'a pas l'habitude de communiquer en situation de crise. De même, les employés n'étant pas sensibilisés par des politiques spécifiques vont, par exemple, ouvrir des mails d'inconnus et être victimes de programmes qui peuvent infecter tout le système d'information. Il semble également que le cybercrime soit plus à l'aise sur le terrain des PME pour extorquer des fonds, par exemple.Ont-elles un comportement qui les fragilise en termes de sécurité ?
Deux sujets d'inquiétude ressortent : les risques liés au nomadisme et ceux induits par la voix sur IP. De plus en plus de commerciaux se rendent chez leurs clients, apportent leurs informations confidentielles non chiffrées et branchent leur PC sans précaution particulière. Des architectures spontanées comme Skype ouvrent des brèches gigantesques dans la sécurité des entreprises. Sur ces deux sujets, les technologies et les offres poussent les employés et les entreprises à s'équiper rapidement, en sautant l'étape de la sécurité. Souvent, le salarié introduit lui-même une technologie sans prendre les précautions élémentaires. Or, la pratique de la VoIP, par exemple, ne peut s'affranchir des conseils préalables d'un expert en sécurité.Quels sont les points de vigilance qui vous paraissent essentiels dans ce type d'entreprise ?
Une PME a d'abord intérêt à prendre des protections paramétriques et à se préoccuper du poste de travail, celui-ci constituant aujourd'hui le principal risque en interne. Installer des boîtiers multifonctions UTM paraît une sage précaution. Un UTM est administrable par une seule interface et fonctionne bien. Ensuite, une entreprise a tout intérêt à renforcer et à homogénéiser ses comportements. D'ici à la fin de l'année, la norme ISO 27000 va être proposée, et elle sera à la sécurité ce que la norme ISO 9000 est à la qualité. L'ISO 27000 est en cours de traduction par l'Afnor, ce qui permettra de consulter les documents en français.Comment obtenir cette nouvelle certification ?
Le Cofrac [Comité français d'accréditation, Ndlr], en liaison avec la DCSSI, va délivrer les agréments aux organismes qui seront habilités à contrôler la conformité des entreprises à la norme ISO 27000. Pour bénéficier de ce label, les PME devront s'adresser à ces organismes et se faire certifier tous les six mois environ. Cette certification sera un élément important de différenciation, non seulement pour les clients mais également en amont dans les opérations de sous-traitance avec des grands groupes.
On peut inverser la question et se demander si une PME peut faire l'impasse sur la sécurité ! La réponse est non, car sa pérennité même serait remise en cause. Le nombre d'attaques et leur complexité ne font qu'augmenter dans toutes les entreprises. En ce qui concerne les PME, la notion de sécurité diffère de celle des grandes entreprises. En apparence, elles sont moins fragilisées, car leurs sites sont moins éparpillés géographiquement. Pour autant, le nombre d'attaques n'en est pas moins élevé. Dès que vous disposez d'adresses IP et de noms de domaine, vous êtes vulnérable. En outre, une PME sensibilise rarement ses salariés. Or, l'employé est bien le maillon faible.Les PME sont-elles victimes d'attaques spécifiques ?
Non, mais elles sont plus vulnérables. Leurs sites web institutionnels, par exemple, peuvent être victimes de défiguration, c'est-à-dire d'une attaque qui va travestir le site et faire perdre sa crédibilité à l'entreprise. Or, une PME réagit moins vite et n'a pas l'habitude de communiquer en situation de crise. De même, les employés n'étant pas sensibilisés par des politiques spécifiques vont, par exemple, ouvrir des mails d'inconnus et être victimes de programmes qui peuvent infecter tout le système d'information. Il semble également que le cybercrime soit plus à l'aise sur le terrain des PME pour extorquer des fonds, par exemple.Ont-elles un comportement qui les fragilise en termes de sécurité ?
Deux sujets d'inquiétude ressortent : les risques liés au nomadisme et ceux induits par la voix sur IP. De plus en plus de commerciaux se rendent chez leurs clients, apportent leurs informations confidentielles non chiffrées et branchent leur PC sans précaution particulière. Des architectures spontanées comme Skype ouvrent des brèches gigantesques dans la sécurité des entreprises. Sur ces deux sujets, les technologies et les offres poussent les employés et les entreprises à s'équiper rapidement, en sautant l'étape de la sécurité. Souvent, le salarié introduit lui-même une technologie sans prendre les précautions élémentaires. Or, la pratique de la VoIP, par exemple, ne peut s'affranchir des conseils préalables d'un expert en sécurité.Quels sont les points de vigilance qui vous paraissent essentiels dans ce type d'entreprise ?
Une PME a d'abord intérêt à prendre des protections paramétriques et à se préoccuper du poste de travail, celui-ci constituant aujourd'hui le principal risque en interne. Installer des boîtiers multifonctions UTM paraît une sage précaution. Un UTM est administrable par une seule interface et fonctionne bien. Ensuite, une entreprise a tout intérêt à renforcer et à homogénéiser ses comportements. D'ici à la fin de l'année, la norme ISO 27000 va être proposée, et elle sera à la sécurité ce que la norme ISO 9000 est à la qualité. L'ISO 27000 est en cours de traduction par l'Afnor, ce qui permettra de consulter les documents en français.Comment obtenir cette nouvelle certification ?
Le Cofrac [Comité français d'accréditation, Ndlr], en liaison avec la DCSSI, va délivrer les agréments aux organismes qui seront habilités à contrôler la conformité des entreprises à la norme ISO 27000. Pour bénéficier de ce label, les PME devront s'adresser à ces organismes et se faire certifier tous les six mois environ. Cette certification sera un élément important de différenciation, non seulement pour les clients mais également en amont dans les opérations de sous-traitance avec des grands groupes.