Insuffisant mais indispensable, l’antivirus doit s’inscrire dans une
stratégie de sécurité globale mais pas forcément inabordable
«Alors que la question de la sécurité revient
régulièrement sur le devant de la scène médiatique, à chaque affaire
importante de piratage, nombre de dirigeants ne se sentent pas concernés
et n’équipent pas leurs systèmes d’information ni leur site Internet de
protections adéquates. Or, l’antivirus, symbole pendant de longues
années de la sécurité des ordinateurs, ne suffit plus, désormais, pour
protéger les entreprises. Son utilisation doit s’inscrire dans une
stratégie coordonnée et cohérente. Et les patrons ne peuvent plus se
permettre d’hésiter à investir dans la cybersécurité, car des textes de
loi s’annoncent, qui engageront la responsabilité des dirigeants en cas
de vols de données clients.
Mohammed Boumediane ne s’embarrasse pas
de fausse modestie et ne cache pas sa fierté : “après deux ans de
recherche et développement, nous avons mis au point un excellent produit
de cybersécurité, salué par de nombreux experts”. Le PDG de la jeune
société HTTPCS, basée à Montpellier, se définit comme un “white hat”, un
hacker qui aide les sites Web à repérer et à corriger les failles de
sécurité. Son entreprise propose un scanner qui scrute et teste les
sites Web à la recherche de la moindre vulnérabilité. Une fois le
diagnostic établi, HTTPCS produit un rapport et propose au dirigeant de
visualiser, pas à pas, comment le site Web de son entreprise pourrait
être piraté.
“L’objectif est de bousculer le dirigeant, même s’il ne possède
aucune compétence technique, pour qu’il se rende compte du danger”,
explique Mohammed Boumediane. Après un peu moins d’une année de
commercialisation, la PME aurait convaincu plus de 8 400 clients.
Accroché à son tableau de chasse : Adobe, Bouygues Telecom, Google ou
encore Twitter. “Les Américains investissent énormément pour sécuriser
leurs systèmes, il est temps que les Français s’y mettent”, avertit
celui-ci.
L’antivirus est mort
80 % des sites Web qui se terminent en “.fr” sont vulnérables,
affirme Mohammed Boumediane. L’actualité depuis le début de l’année 2015
lui donne raison. Fin janvier, une quinzaine de jours après les
attentats de Paris, 25 000 sites français ont été piratés par des
groupes de hackers se revendiquant d’organisations islamistes. Les pages
Internet du conseil général du Lot, du Mémorial de Caen, des filiales
de Carrefour et de BNP Paribas ont été compromises.
En cause : des sites Web mal configurés, rarement mis à jour,
protégés par des mots de passe simplistes. Alors que l’organisation
policière européenne Europol hissait, le 17 avril dernier, la
cybercriminalité au premier rang des menaces mondiale pour la société,
au côté terrorisme, nombre de chefs d’entreprise restent persuadés
qu’ils ne seront jamais la cible d’une attaque. Au mieux se
contentent-ils d’un antivirus.
“L’antivirus est mort”, assène le PDG d’HTTPCS, reprenant les propos
de Brian Dye, vice-président de Symantec, l’un des pionniers de
l’antivirus, qui commercialise notamment Norton.
Régulièrement, le débat sur leur utilité refait surface. “L’essentiel
de nos données n’est plus stocké sur nos ordinateurs, mais dans le
cloud. Quant aux virus, ils sont devenus intelligents, ils savent passer
inaperçus”, argumente-t-il encore.
Les antivirus fonctionnent à partir d’une base de signatures, un
profil de virus. Comme si un gardien d’immeuble devait empêcher tous les
hommes portant une chemise noire de passer le pas de la porte. Or,
aujourd’hui, les virus savent se déguiser et changer de chemise,
devenant indétectables. “Environ 80 000 nouveaux virus et malwares
apparaissent quotidiennement, confirme Philippe Rondel, directeur
technique France de CheckPoint. Les bons logiciels en identifient
jusqu’à 90 %, mais jamais la totalité. Cependant, il faut relativiser :
l’antivirus reste une brique de base dans la stratégie de sécurité.”
Insuffisant, mais indispensable, tel est l’avis d’une majorité de
professionnels de la sécurité.
Mot de passe : 1234
D’autant plus qu’aujourd’hui, les éditeurs d’antivirus travaillent à
dépoussiérer l’image de ces outils. Terminé, le logiciel lourd qui
ralentit l’ordinateur et qui envoie les notifications intempestives par
dizaines. “Nos produits s’adaptent aux besoins de nos clients, argue
Benoît Grunemwald, directeur commercial et marketing chez Athena Global
Services. En plus d’un socle commun, antivirus et pare-feu, qui se
trouve dans toutes nos solutions, nous proposons à nos clients
professionnels la mise en place de machines virtuelles, de
l’administration à distance, du chiffrement des données ou encore la
protection des smartphones et des tablettes.” Le pack total, installé
sur des milliers de machines, coûte plusieurs milliers d’euros. “Les PME
qui souhaitent une protection de base sur une centaine d’ordinateurs
peuvent compter sur une quinzaine d’euros par machine”, indique Benoît
Grunemwald.
“Les solutions de sécurité de premier niveau ne représentent pas un
coût insurmontable, confirme Vincent Strubel, sous-directeur “expertise”
de l’Agence nationale de la sécurité des systèmes d’information
(ANSSI). De bonnes pratiques et des outils simples constituent une
première barrière contre les attaques non ciblées.” L’agence vient de
sortir un guide des douze bonnes pratiques, à l’attention des chefs de
petites et moyennes entreprises : mettre à jour ses logiciels, effectuer
des sauvegardes régulières, sécuriser l’accès wifi de l’entreprise,
choisir un mot de passe complexe… 14 % des internautes se fient à une
simple suite, du type “1234” ou “azerty”, qui n’arrêteront les hackers
que quelques secondes.
“Nous prenons la sécurité des PME très au sérieux, poursuit Vincent
Strubel. Notre problème, c’est la prise de conscience des dirigeants.
Nous travaillons avec la CGPME, notamment, pour dialoguer avec les chefs
d’entreprise. En rédigeant le guide, nous nous sommes rendu compte que
certains termes qui paraissent évidents à la jeune génération, comme
‘wifi’, nécessitaient d’être définis. Nous avons dû simplifier notre
langage, utiliser des exemples concrets. Une partie des patrons de
petites structures ont du mal à s’approprier le numérique et il s’avère
encore plus compliqué, pour eux, de prendre en compte les problématiques
de sécurité.”
La difficulté, pour la plupart des chefs d’entreprise, vient
désormais de la multiplicité des outils. Le temps où l’antivirus régnait
en maître, ou presque, comme principal outil de la cybersécurité est
révolu. Aujourd’hui, pléthore de solutions répondent à des menaces
toujours plus variées.
50 casseroles sur le feu
“La difficulté, c’est d’avoir une vision d’ensemble, soutient
Sébastien Faivre, DG de Brainwave. Trop souvent, on a une approche en
silos, c’est-à-dire que le point d’attention se déplace sur une
problématique ou une autre, en fonction du niveau de maturité et des
derniers désagréments subis par l’entreprise.” Pour protéger
parfaitement un seul site, une dizaine d’outils différents peuvent être
installés. Les grands groupes, qui possèdent plusieurs sites Internet
pour chaque filiale, doivent donc surveiller une multitude
d’indicateurs. “Il faut gérer 50 casseroles sur le feu en même temps et
réagir en temps réel, illustre Jean-Yves Pronier, field marketing chez
Brainwave. Le temps réel, souvent, c’est même déjà trop tard, ça veut
dire que l’attaque a eu lieu.”
Pour les chefs d’entreprise, à la problématique de la complexité
technique s’ajoute celle du coût. Or, seules les grandes entreprises
peuvent généralement financer une équipe informatique dédiée. Les PME,
les PMI et les TPE se tournent donc vers des prestataires, lesquels ont
compris l’importance de fournir des solutions simples et lisibles.
Cartographie des données, des terminaux et des risques
Brainwave, l’un des leaders mondiaux en analyse de la sécurité des
droits d’accès sur les applications et les données, a développé un
“cockpit” de cybersécurité qui, comme le tableau de bord d’une voiture,
permet de garder un œil sur les indicateurs les plus importants et
d’alerter l’utilisateur en cas de panne.
“La cybersécurité nécessite un budget, ce qui signifie que
l’entreprise doit classer ses priorités en matière de sécurité et faire
des choix, affirme Bruno Labidoire, senior director of technology pour
l’Europe du Sud chez Informatica, société spécialisée dans la donnée.
Pour établir cette hiérarchie, elle doit cartographier son système
d’information.” Cartographier signifie lister tous les composants de
l’entreprise : les systèmes centraux, les serveurs, cloud ou non, les
terminaux mobiles, les objets connectés… Chacun de ces appareils n’a pas
forcément le même accès à l’information de l’entreprise. Or si les
commerciaux peuvent accéder à la totalité du fichier client depuis leur
smartphone, par exemple, l’entreprise a besoin de le savoir pour
construire une stratégie de sécurité. “Ensuite, il faut attribuer un
degré de criticité à chaque gisement de données, poursuit Bruno
Labidoire. C’est souvent ce qui manque dans les entreprises, parce que
les systèmes informatiques se sont construits au fur et à mesure au
cours de dix, quinze ou vingt dernières années.”
Pas encore responsable, mais déjà victime
Bien qu’il existe des solutions de base et des bonnes pratiques qui
ne coûtent presque rien à l’entreprise, les outils plus perfectionnés, à
l’image des technologies de chiffrement, de cartographie ou le scanner
d’HTTPCS, s’accompagnent parfois d’une facture salée. Si les petits
sites Web, qui ne totalisent que quelques centaines de pages, ne
paieront qu’une quinzaine d’euros pour utiliser le scanner d’HTTPCS, les
sites Internet de taille moyenne ou importante, qui totalisent des
millions de pages, devront s’acquitter de milliers d’euros. De la même
manière, la gamme de prix des solutions d’Informatica commence à
50 000 euros.
“C’est comme une assurance”, raisonne Mohammed Boumediane. Une
assurance sur le point de devenir obligatoire. “La loi de programmation
militaire contraint les organismes d’importance vitale à sécuriser leurs
plateformes. Ce texte englobera bientôt toutes les entreprises qui
manipulent des données clients.” Autrement dit, la responsabilité du
dirigeant en cas de vol de données s’affirme de plus en plus.[...]»
Ler mais...
Sem comentários:
Enviar um comentário