Plus de la moitié des PME américaines et anglaises opèrent sans la moindre règle établie en interne en matière de sécurité informatique selon un rapport publié la semaine dernière par AVG.
Pour arriver à ce constat, AVG a interrogé un échantillon de 2000 PME aux Etats-Unis et au Royaume Unis et s’est aperçu que non seulement la moitié d’entre elles n’avaient pas mis en place la moindre règle de sécurité, mais que, pire encore, une sur sept n’avait même pas mis en place l’ombre d’un logiciel de sécurité.
C’est une pratique on ne peu plus dangereuse, en particulier pour les PME dont les ressources limités peuvent amener ce genre de négligences à des catastrophes potentiellement fatales. Un anti virus correctement mis à jour sur l’ensemble des postes de l’entreprise permettrait déjà d’éviter pas mal d’encombres (et ce n’est qu’un début).
Pourtant, 83% des entreprises ayant répondu affirment être consciente de l’importance que revet la sécurité informatique à l’ère d’internet, ce qui rend la situation d’autant plus préoccupante : il ne s’agit pas d’un problème de sensibilisation.
L’étude d’AVG (disponible ici) apporte un certain nombre de fait interessant par ailleurs :
- 39% des PME affirment avoir des compétences technologiques de bon niveau en interne, et plus de la moitié ne disposent d’aucune compétence en leur sein.
- Au fûr et à mesure de la reprise économique, plus de 2/3 des PME s’attendent à grandir dans les cinq années qui viennent.
- 67% des répondants envisagent de passer au cloud computing dans un avenir proche.
Hadopi sème le trouble en France
La situation en France n’est guère plus brillante que dans le monde Anglo Saxon. En terme de sécurité, nos entreprises ne sont pas mieux loties, mais chez nous, Hadopi est venu semer le trouble dans le concept même de sécurité informatique.
A l’instar d’une Christine Albanel qui déclarait publiquement qu’Open Office était un logiciel de sécurité, le message des autorités publique n’est qu’une instrumentalisation de la peur destinée à faire accepter des solution de sécurité qui, en l’occurence, n’ont rien à voir avec ce dont les particulier et les entreprises ont réellement besoin. Rappelons au passage que Open Office protège autant en matière de sécurité informatique que Microsoft Office, les deux logiciels étant assez proches, et destinés, en réalité, à faire de la bureautique et non de la sécurisation informatique.
Le fait de télécharger des mp3 ne présente pas de risques particuliers en terme de sécurité informatique, il présente éventuellement un risque pour les maisons de disques, ce qui n’a, là non plus, rien à voir.
La logique, pour une PME qui fait ses premiers pas, serait de se protéger avant tout contre des attaques venues de l’extérieur (virus, intrusion, etc), et non contre des pseudo-attaques venues de l’intérieur (un employé indélicat qui télécharge).
Or en France comme ailleurs, la majorité des PME ne disposent pas de compétence internes susceptibles d’aborder les choses calmement, et la menace d’une coupure de l’accès internet – potentiellement catastrophique pour la plupart des PME – rajoute à la peur suscité par internet, elle même largement alimentée par un discours systématiquement alarmiste de la part des autorités.
Les technologies destinées à protéger une entreprise d’employés téléchargeurs (qui ne sont pas encore bien lisibles pour l’instant), vont donc venir perturber le jeu et ajouter en complexité ainsi qu’en coûts. Une épine de plus dans le pied de l’économie numérique, sauf que l’on touche là à une partie de l’économie numérique sur laquelle s’appuie l’ensemble de l’économie, de l’artisan plombier qu’un virus informatique pourrait mener à la faillite, au garage du coin de la rue, qui pensera s’être mis à l’abri du danger en se protégeant, en réalité, d’employés indélicats, tout en laissant la porte grande ouverte à des intrusions informatiques potentiellement dévastatrices.
Brutalement sensibilisées à la problématique bien réelle de la sécurité informatique, les PME Française vont s’empresser de construire des ligne Maginot pour se protéger de leurs employés. Là où ils aurait été infiniment plus sage de les inciter à se protéger contre des risques réels, la création d’un risque de coupure de l’accès va les mener tout droit vers des dépenses inutiles, et pire encore, vers l’impression qu’elles sont à l’abri.
C’est là l’une des grandes crainte exprimée récemment par un consortium de géants de l’informatique, qui craignent que le concept de sécurité informatique ainsi instrumentalisé ne mène à des catastrophes en cascade qu’elles auront le plus grand mal à gérer, tant en terme de communication qu’en terme informatique.
24 novembre 2010 à 8:39
En stigmatisant une forme d’echange comme reprehensible (le p2p), HADOPI concentre les energies sur cette technologie exclusivement. Il en revient que les entreprises ne font plus attention a des probleme de connection de base, comme ce que l’on a vue apparaitre avec firesheep: http://en.wikipedia.org/wiki/Firesheep
24 novembre 2010 à 13:31
:-)
24 novembre 2010 à 19:40
Firesheep qui n’est toujours pas disponible pour Linux, c’est bien dommage, j’aimerai le tester. Ayant laissé le wifi de ma box totalement ouvert, savoir quel usage mes voisins peuvent en faire me plairait bien, juste histoire de ne pas attendre le courrier hadopi au cas où.
Si quelqu’un connait un programme similaire simple d’utilisation, je suis preneur.
24 novembre 2010 à 19:55
D’un autre côté AVG vend des solutions de sécurité. Alors son enquête qui explique que les gens en ont besoin, à prendre avec recul.
24 novembre 2010 à 20:08
@jeanlouis
Oui, absolument, ceci dit, leur methodo est dans les règles de l’art, leur enquète a l’air d’avoir été menée avec sérieux, et de toutes façon, on a Statosphère qui veille au grain sur ce genre de truc, donc à priori, leur résultats sont correct. J’ajoute que mon expérience perso qui me fait croiser des tonnes de PME confronté à ce genre de problématique, me laisse la même impression. Dès qu’on a à faire à des boite hors web, c’est n’importe quoi question sécurité, le pire étant le cas où le responsable informatique de la boite est persuadé de s’y connaitre et confond en réalité un peu tout…
24 novembre 2010 à 22:54
@Clovis: si si, il y a du firesheep qui tourne sur minux, par exemple http://randommusingsofarealgeek.blogspot.com/2010/11/firesheep-on-linux.html C’est sûr qu’il faut se tirer les doigts et apprendre un minimum… ce qui est justement un des pré-requis pour avancer en sécurité informatique, voire en informatique tout court.
@Fabrice: si ce n’étaient que les PME hors secteur IT qui étaient aussi nulles ; au moins ont-elles des excuses. Les boîtes de maintenance informatique, avec ou sans discours commercial in the move, sont pas mal non plus : users systématiquement dotés de droits admin (parfois sur le domaine entier), mises à jour système erratiques, antivirus sciemment désactivés, etc., c’est le lot quotidien de nombre de leurs clients, à l’insu de leur plein gré of course… on s’en fout du moment qu’ça marche !
Quant à la palanquée de branleurs qu’on trouve chez les agences web à la petite semaine, leur mépris souverain des plus élémentaires règles de sécurité confine à l’art : noms de domaines déjà câblés qui mènent direct à un Joomla (what else?) en attente d’installation, arborescences complètes en 777, j’en passe et des meilleures.
25 novembre 2010 à 11:59
Quand une entreprise qui vend de l’eau fait un sondage pour savoir si les gens boivent assez d’eau, quelle en sera la conclusion ???
Les sociétés d’antivirus ressortent ce genre d’études fréquemment.
25 novembre 2010 à 12:01
@Karlos
Meme réponse que plus haut
25 novembre 2010 à 21:08
J’ai eu expérience, qu’il y a de la censure sur les solutions libre de sécurité informatique …
Parefeu, IPS, etc etc
Certains ont peur ? et n’hésitent pas a utiliser les moyens qu’ils sont censé eux aussi protéger
01 décembre 2010 à 9:40
Bonjour,
Je suis Webmaster d’une petite structure associative financé par des subventions, et je m’occupe aussi de l’administration système et réseau. J’ai réussi a mettre en place (sans demander l’avis de ma direction, vu que c’était indispensable et transparent) d’une firewall réseau (IPCop -> Libre et open source), et d’un antivirus (payant) récent et régulièrement mis à jour. J’ai mis aussi en place un backup des données du serveur de fichier. Je pense qu’avec ces trois choses, qui n’ont pas couté tant, je dois sortir du lot, mais je sais que je ne suis surement pas passé par tout les protection « de base » a installer.
Mais à chaque fois que je proposais d’installer un système de protection, j’étais confronté a un « Pfff, faut arrêter, ca nous arrivera jamais! » face a « on laisse la porte grande ouverte à des intrusions informatiques potentiellement dévastatrices », a un incendie ou du vandalisme…
La remarque est souvent la même au seins des structures que j’ai pu croiser, toute de petite ou de moyenne taille. Que fait-on dans ces cas là? On se fait mettre a l’index en continuant a marteler son message ou on baisse les bras en se disant qu’ils pleureront le jour où il y aura un problème, et qu’on pourra sortir nos idée et attraper le peu de sous que cela coute?
01 décembre 2010 à 13:29
@Jérémie
Objectivement, le jour où la catastrophe arrivera, tu pourra dire « je vous avait prévenu », donc quelque part, tu est tranquille. Il te manque une solution de backup sérieuse pour devenir le sauveur en cas de problème (et tout un tas d’autres choses, mais c’est déjà vachement bien).