Sécurité des données informatiques : les PME aussi…

Par Yamina Perrot, Chef de produits chez RSA, la Division Sécurité d’EMC

« La naïveté, dit-on, est directement proportionnelle au degré de connaissance ». L’adage n’est probablement pas toujours exact. Il reste que si l’on observe le comportement de maints utilisateurs de l’informatique, on lui trouve un fonds de vérité. Que celui qui n’a jamais écrit son mot de passe sur un post-it, pour coller ensuite ce dernier sur le socle de son ordinateur lève la main ! Et même si l’on prend soin de le préserver des indiscrets, la sécurité qu’il représente devient insuffisante devant les progrès de la cybercriminalité. Dès 1995, le CERT américain (Computer Emergency Response Team) établissait à 80% le nombre des incidents incombant aux mots de passe. Les systèmes de protection basés sur ces seuls « sésames » ont amplement montré leur inefficacité face à l’ingéniosité des pirates.

Les entreprises sont d’autant plus vulnérables à leurs attaques qu’elles ont accès à un nombre croissant d’informations. Le risque d’infection par un « cheval de Troie », est considérable, et des quantités de données passent entre des mains aussi peu désintéressées que possible, sans que les victimes s’en aperçoivent. Outre les numéros de comptes bancaires ou de cartes de crédit, les pirates dérobent des mots de passe, des adresses mail, des habilitations de connexion, toutes sortes d’informations.

Ces vols constituent un danger majeur pour toutes les entreprises, y compris les PME-PMI. La petitesse de la structure, en effet, n’est pas une garantie, les cybercriminels ne réservant pas leurs délicates attentions aux seules grandes sociétés. Pas naïfs du tout, ils savent que, contrairement à celles-ci, PME et PMI ne consacrent généralement que de modestes budgets à la sécurité des informations. Leurs dirigeants sont plutôt inquiets devant le prix supposé d’une protection efficace, et se contentent de donner à leurs collaborateurs des consignes de prudence élémentaires. Ce faisant, ils négligent les bénéfices qu’une vraie défense peut apporter à terme, aussi bien dans le domaine financier que dans celui de la concurrence. Les coûts sont anecdotiques quand on les rapproche de ceux d’une grave fuite de données, notamment des données de propriété intellectuelle par exemple.

Il est vrai que les solutions qui leur étaient jusqu’ici proposées  étaient trop chères, complexes à gérer et exigeaient du personnel informatique pour les administrer. Il n’en va plus de même quand des systèmes d’authentification forte, dédiés au PME, font leur apparition sur le marché. Peu coûteuses à déployer, elles sont faciles à assimiler sans formation utilisateur, et combinent sécurité et fonctionnalités avancées pour les adapter au développement de l’activité. Elles mettent en œuvre un moteur de risque « intelligent et auto-apprenant » qui régule l’accès à l’information selon le niveau de risque qu’il calcule en temps réel. Ainsi lorsqu’il détecte un contexte à risque (comportement anormal, données de connexion inhabituelles, etc..) il demande à l’utilisateur, avant d’autoriser l’accès aux ressources Web de l’entreprise, qu’il fournisse une preuve supplémentaire d’identité (la réponse à une question personnelle, un mot de passe à usage unique reçu par SMS,  etc..).  En revanche si le contexte de connexion est conforme aux habitudes et jugé sans risque par le moteur, l’accès est autorisé sans interagir avec l’utilisateur.

Le reste, notamment les menaces internet pouvant arriver pendant la session de travail d’un utilisateur qu’il soit au bureau ou se connecte à distance, est affaire d’éducation et d’application. Même pour les moins naïfs…