Les données de l'entreprise sous protection rapprochée.
Le risque est omniprésent et multiforme.
Les premiers micro-ordinateurs ont fait leur apparition dans les années 70. Trois décennies ont suffi pour qu'ils deviennent indispensables à la bonne marche de la quasi-totalité des entreprises. En France, 100 % des entreprises de plus de 20 salariés sont aujourd'hui informatisées et 93 % utilisent Internet.
Élément-clé de la compétitivité, l'informatique rend aussi plus vulnérable. Coordonnées de clients, listing de prospects, données personnelles sur les collaborateurs, comptabilité, rapports, projets, les systèmes d'information rassemblent des données sensibles. Elles appartiennent au patrimoine de l'entreprise. En l'absence de protection adaptée, elles peuvent disparaître.
94 % des entreprises rapportent au moins un incident lié à la sécurité informatique chaque année.
L'atteinte des systèmes d'information est souvent accidentelle (erreur de saisie ou d'utilisation). Elle est parfois intentionnelle : sabotage, piratage, fraude, vol de matériel ou de données, virus, spyware… Il peut en résulter le blocage de tout ou partie des ressources informatiques, la falsification, la destruction ou le détournement de données.
Une indisponibilité des systèmes d'information de moins de 24 heures a de lourdes conséquences sur l'activité de 3/4 des entreprises.
Les atteintes malveillantes aux systèmes d'informations surviennent dans les locaux de l'entreprise comme à l'extérieur (collaborateurs mobiles). Elles proviennent du personnel de l'entreprise (stagiaires, salariés, ex-salariés) ou non (visiteurs, fournisseurs, voisins dans un lieu public…).
Les motivations des cyber-criminels sont de trois ordres :le jeu (adolescent hacker), la stratégie (attaque concurrentielle), l'appât du gain.
Une atteinte à la sécurité informatique d'une entreprise a toujours un impact financier. Il comporte des coûts directs : remplacement du matériel, intervention d'expert, nouvelle saisie des données, restauration, réinstallation, montant de l'extorsion ou du détournement de fonds, pertes de production éventuelles.
Perte de chiffre d'affaires : baisse de la compétitivité (vol d'informations), perte de savoir-faire (destruction de données) et/ou d'appels d'offres.
Pertes immatérielles : atteinte à l'image et à la crédibilité, perte de confiance des clients et partenaires.
Dans près de 9 cas sur 10, l'impact financier du sinistre des systèmes d'information est absorbé par la trésorerie courante de l'entreprise.
Le montant moyen des préjudices relatifs à la sécurité informatique subis par les entreprises est évalué entre 50 000 et 150 000 euros. Une étude menée aux États-Unis en 2004 par l'institut américain en sécurité informatique (CSI) et le FBI donne même une fourchette supérieure. Elle va de 35 000 euros pour la contamination des systèmes d'informations par un virus, à plus de 1 million d'euros pour les vols informatiques dans l'entreprise.
Au regard de ces chiffres, le coût de la sécurité informatique paraît presque dérisoire.
Un incident informatique peut remettre en cause l'activité de l'entreprise et déboucher sur un dépôt de bilan.
La survenue d'une altération des systèmes d'information n'est jamais le fruit du hasard. Elle survient toujours à cause d'une sécurité défaillante. Et l'on ne mesure vraiment la valeur des données qu'une fois disparues, c'est-à-dire trop tard. L'action doit précéder l'attaque.
La solution la plus efficace consiste à élaborer, en prévention, une véritable politique de sécurité des systèmes d'information (PSSI).
Structurer : se contenter d'empiler les mesures laisse forcément persister des failles. Si la protection absolue n'existe pas, seule une démarche cohérente et réfléchie permet une protection optimale.
Adopter une vision globale : la sécurité d'un système d'information est comparable à une chaîne. Son niveau est celui de son maillon le plus faible. Protéger ses locaux, mais pas les ordinateurs portables de ses collaborateurs mobiles, revient à équiper ses bureaux d'une porte blindée tout en laissant les fenêtres ouvertes.
Formaliser : c'est le seul moyen d'espérer une mise en œuvre conforme au niveau de sécurité souhaité.
56% des entreprises sont dotées d'une politique de sécurité formalisée
Une PSSI vise à garantir un niveau de sécurité optimal et durable qui préserve la confidentialité, l'intégrité, la disponibilité et la valeur des données comme des systèmes. Elle fait appel à des moyens techniques, organisationnels et fonctionnels.
Un audit initial permet d'établir un état des lieux des biens à protéger, mais aussi d'analyser les pratiques et les risques, afin de déterminer des priorités.
La mise en œuvre d'une PSSI ne sert à rien sans suivi ultérieur permanent. L'entreprise évolue. Ses vulnérabilités aussi.
La nomination d'un responsable de la sécurité des systèmes d'information (RSSI), même à temps partiel, est incontournable. Il intervient à toutes les étapes.
La panoplie des solutions techniques de sécurité est aujourd'hui très large :
Logiciels de sécurité : antivirus, antispam, pare-feu…
Moyens d'authentification : du simple code d'accès à la biométrie, pour un accès différencié aux données et aux applications, en fonction du niveau de responsabilité et du métier.
Dispositifs de sauvegarde : CD-Rom, clé USB, disque dur amovible…
Protection des postes informatiques, mais aussi des locaux, contre le vol et les accidents (incendie, inondation, coupure d'électricité…).
Contrôle de l'accès physique aux locaux.
Chiffrement des données sensibles et/ou confidentielles.
Filtres de confidentialité pour écrans d'ordinateurs.
Il n'y a pas d'équipement idéal. Chaque entreprise est un cas unique. Elle doit opter pour des solutions de sécurité adaptées aux risques qu'elle encourt.
S'équiper de logiciels de sécurité, c'est bien. Encore faut-il se doter de leur mise à jour régulière. Se doter d'un pare-feu est un minimum… à condition qu'il soit configuré correctement lors de son installation. Et si la création de comptes utilisateurs permet de protéger les informations stratégiques, il faut les gérer au long cours, en fonction des départs et des arrivées de collaborateurs.
97 % des entreprises possèdent un antivirus, mais leur fréquence de mise à jour est insuffisante dans 64 % des cas.
En France, la moitié des ordinateurs acquis l'an dernier par les PME était des portables. Près de 9 entreprises sur 10 possèdent un parc de téléphones mobiles, et 55 % une flotte de PDA.
Les outils de la mobilité permettent aux collaborateurs de gagner en liberté et de mieux organiser leur travail. Le temps d'attente et de transport devient un temps utile.
Si les technologies nomades sont un facteur de développement pour l'entreprise, ils augmentent aussi les risques :
d'utilisation illicite : accès au réseau ou contamination par des logiciels malveillants, à partir des périphériques mobiles.
de vol de matériel : ordinateurs portables et autres téléphones mobiles sont plus faciles à dérober, notamment à l'extérieur de l'entreprise.
de vol de données : le travail sur un ordinateur portable dans un lieu public (hôtels, aéroports…) expose aux regards indiscrets.
Plus d'1/3 des hommes et des femmes d'affaires reconnaissent avoir lu par-dessus l'épaule d'une personne dans un lieu public. Près des 2/3 des employés de bureau ont déjà jeté un œil furtif sur l'écran de leur collègue.
Les filtres de confidentialité 3M permettent de concilier sécurité et productivité, en toute simplicité.
Le filtre de confidentialité 3M réduit à 60° l'angle de vision de l'écran. Seul l'utilisateur de l'ordinateur, placé en face, peut visualiser les informations affichées. Son entourage ne voit qu'un écran noir.
La mise en place du filtre de confidentialité 3M est aussi simple que rapide. Souple et extra-plat, il peut rester sur l'écran une fois l'ordinateur portable fermé.
Le filtre de confidentialité 3M protège l'écran des rayures. Il est anti-reflet, une qualité précieuse en environnement lumineux.
Les filtres de confidentialité 3M sont compatibles avec les écrans plats LCD. Un collaborateur mobile peut utiliser le même filtre pour son ordinateur portable et son écran plat au bureau, pour autant que les tailles des écrans soient identiques.
Robustes, les filtres de confidentialité 3M restent nets au fil des utilisations. Ils sont garantis à vie.