71% des entreprises ont subi des cyberattaques en 2011
Selon une étude de la société Symantec, ces attaques auraient coûté plus de US$100 000 à 20% des PME.
Les nouveaux facteurs de risque
À la faveur de l'interconnexion des réseaux à travers Internet, les risques d'intrusion dans le système d'informations de l'entreprise augmentent de manière significative pour plusieurs raisons:
- La multiplication des plateformes: du fait, notamment, de la "consumérisation" de l'informatique, le temps où le département informatique imposait un système unique pour l'ensemble des employés est bel et bien révolu. Dans de nombreuses entreprises, c'est maintenant au DSI d'adapter la stratégie de sécurisation du SI à un nombre croissant d'outils imposés par les utilisateurs plutôt que d'attendre que ces derniers se soumettent à des règles contraignantes...
- Les vols/pertes de matériel: une fois sortis du bureau, les smartphones, clés usb et autres tablettes constituent un réel danger pour l'entreprise lorsque leurs contenus confidentiels se volatilisent dans la nature.
- L'ingénierie sociale: l'éternel maillon faible du système d'information (l'utilisateur) est une cible d'autant plus intéressante pour des individus malveillants que les réseaux sociaux rendent publics des éléments qui facilitent les démarches visant à lui soutirer les quelques informations manquantes pour accéder à ses données personnelles ou professionnelles.
Or, les modèles traditionnels d'architecture des systèmes de messagerie et de bureautique dans l'entreprise exacerbent ces dangers.
Les limitations des outils traditionnels
- La décentralisation des données et des applications met la sécurité de l’entreprise entre les mains des utilisateurs: les architectures traditionnelles font du PC de l’employé un élément actif de traitement et de stockage des données. Il incombe donc à cet utilisateur, généralement néophyte, la responsabilité de garantir l’inviolabilité de son système (et par extension, de celui de l’entreprise) au moyen de procédures toujours plus complexes, alors même que, parallèlement, les tentations et comportements “à risque” se banalisent (en témoigne la recrudescence de jeux en-ligne, vecteurs potentiels de malwares et autres intrusions). Est-il raisonnable de supposer que l’utilisateur moyen a le temps et la capacité de protéger l’accès aux données sensibles de l’entreprise?
- Les menaces, publiées: que ce soit par souci de transparence ou bien, plus prosaïquement, pour se prémunir d’éventuelles poursuites judiciaires en reportant la responsabilité vers leurs clients, de nombreux éditeurs rendent publiques les failles de leurs logiciels, parfois avant même leur correction. Or, sachant qu’il faut en moyenne 24 jours à un correctif pour être déployé, cela signifie que les potentiels hackers disposent d’une fenêtre d’action non-négligeable pour attaquer des cibles non-protégées. En clair, non seulement le cambrioleur a vu la porte ouverte mais, en plus, il sait que je ne suis pas là...
- La diversification des plateformes complique la tâche des administrateurs qui sont amenés à supporter, sécuriser et organiser la collaboration entre des systèmes d’exploitation, logiciels et outils variés.
Conséquences et risques
Dans une architecture traditionnelle, le DSI doit généralement arbitrer entre confort d’utilisation et sécurité avec le risque de n’obtenir ni l’une, ni l’autre. Ce compromis, qui paraît inéluctable, implique frustration de la part des utilisateurs et préoccupation pour les responsables informatiques, lesquels ont souvent autant de difficultés à sensibiliser le reste de l’entreprise aux risques encourus (Ponemon Institute évalue à environ $49 000 le coût moyen de la perte d'un ordinateur portable hébergeant des données d'entreprise) qu’à les réparer, une fois que les problèmes ont eu lieu...
Pour en savoir plus...
Mais au moins, ma solution est collaborative... ou Quelle est la solution?