Menu Content/Inhalt
Accueil arrow Dossiers arrow AWT : Problèmes et solutions de sécurité informatique
Abonnez-vous à notre lettre périodique ! Recevoir du HTML? Nous vous avons enregistré. Merci.





Perdu votre mot de passe ?
Pas encore de compte ? Enregistrez-vous
pour recevoir nos lettres mensuelles et des formations gratuites !
AWT : Problèmes et solutions de sécurité informatique Version imprimable Suggérer par mail

 Un article publié par l' Agence Wallonne des Télécommunications (Belgique) sur son site web : http://www.awt.be/web/dem/index.aspx?page=dem,fr,025,020,018

 
La sécurité informatique est devenue un véritable enjeu économique. L'AWT a donc analysé les problèmes de sécurité rencontrés par les PME et les solutions qu'elles mettent en oeuvre pour y répondre

En 2004, 91% des PME connectées à Internet ont rencontré au moins un problème de sécurité. Par ordre décroissant, les problèmes de sécurité mentionnés par les PME connectées à Internet sont:

  • le spamming (réception de mails indésirables): 75%,
  • attaques virales ayant endommagé les disques durs: 32%,
  • problèmes liés aux e-mails (usurpation d'identité, perte, etc.): 31%,
  • accidents dont pannes diverses: 31%,
  • attaques externes dont accès non autorisés au réseau: 27%,
  • attaques internes dont malveillance de la part du personnel: 3%.

Le total est évidemment supérieur à 100% puisque les PME ont souvent rencontré plusieurs types de problèmes en 2004.


Il est intéressant de constater que le spamming est passé au rang de premier problème de sécurité mentionné par les PME car en 2003 les virus étaient de loin (48%) leur première préoccupation. Les techniques d'e-mail marketing se développent et malheureusement le spamming fait partie des dérives liées à ce développement. Cela explique certainement en partie ce changement de préoccupation au niveau des PME. Cela démontre également une prise de conscience de la part des entreprises qui évoquaient le problème des virus comme le problème de sécurité numéro un en 2003.

Le deuxième constat important est celui du caractère fondamentalement externe du problème de sécurité informatique. Les attaques internes ne sont plus mentionnées que par 3% des PME, ce qui représente un net recul par rapport à 2003.

En fonction de la taille

Si l'on examine l'influence de la taille de l'entreprise sur les problèmes de sécurité, on s'aperçoit que le classement de ces problèmes est modifié. Ainsi, par exemple, le spamming est bien la première préoccupation de sécurité des PME employant 100 personnes et plus. Par contre, leur seconde préoccupation n'est pas celle des attaques virales, mais bien celle des problèmes liés aux e-mails, citée par 58% des 100 et plus.

Les problèmes de sécurité varient en fonction de la taille parce que les solutions de sécurité mises en place par les plus grandes structures sont plus performantes et plus coûteuses. Le graphique ci-dessous montre l'influence de la taille sur les problèmes de sécurité rencontrés par les PME.

Problèmes de sécurité mentionnés par les PME en fonction de la taille
Problèmes de sécurité mentionnés par les PME en fonction de la taille

Par secteur

En ce qui concerne l'influence des secteurs sur les types de problèmes de sécurité rencontrés, on voit bien à nouveau que le spamming est la préoccupation numéro un de tous les secteurs, mais dans des proportions variables (de 44% à 84%). Les autres types de problèmes ont des importances différentes, ainsi qu'une distribution différente les uns par rapport aux autres.

Ainsi, par exemple, le problèmes de virus est le moins souvent cité par les PME du secteur TIC (29%). Par contre, ces mêmes PME sont celles qui se plaignent le plus des attaques externes (45%). Cela s'explique par le fait que les anti-virus régulièrement mis à jour sont une réalité dans toutes les PME du secteur TIC et que le hacking est à la fois une question sensible par rapport à l'activité de base et une pratique qui cible prioritairement les entreprises ayant des réseaux d'informations internes à forte valeur ajoutée, ce qui est le cas pour les PME du secteur TIC.

Dans la même optique, on voit que les secteurs qui utilisent davantage l'e-mail se plaignent plus des problèmes liés aux e-mails (TIC, immobilier, services aux entreprises). Le spam est le nouveau fléau informatique qui sévit partout depuis deux ans et contre lequel il n'existe pas encore de solutions réellement efficaces. En effet, les moyens de protection actuels (filtres anti-spam, etc.) sont lourds à utiliser pour l'utilisateur final et n'offrent pas encore une fiabilité complète. Tous les secteurs sont concernés excepté ceux où l'e-mail est moins utilisé comme l'horeca.

Enfin, en ce qui concerne les accidents et les pannes, on constaste que la majorité des produits informatiques semblent avoir atteint un bon niveau de fiabilité. La caractéristique dite du Mean Time Between Failure (MTBF) de la plupart des composants techniques indique que la propension moyenne à la défaillance est désormais plus longue que la période moyenne d'amortissement (3 ou 4 ans) de ces produits.

Problèmes de sécurité rencontrés par les PME en fonction du secteur. Population: PME connectées à Internet
Secteurs Problèmes de sécurité
Virus Attaques externes Problèmes e-mails Spamming Accidents Attaques internes
Agriculture 32% 32% 28% 65% 33% 4%
Industrie 1 26% 22% 27% 75% 23% 4%
Industrie 2 32% 23% 34% 71% 25% 2%
Construction 33% 25% 23% 67% 27% 2%
Garages 30% 28% 28% 67% 34% 6%
Distribution 26% 30% 34% 76% 31% 2%
Commerce 26% 19% 21% 53% 29% 2%
Horeca 25% 16% 17% 44% 21% 1%
Transports 26% 28% 27% 70% 24% 5%
Finances 20% 37% 24% 74% 21% 4%
Immobilier 26% 28% 39% 84% 24% 5%
TIC 29% 45% 55% 83% 33% 3%
Services aux entreprises 35% 27% 38% 83% 32% 4%

Les problèmes de sécurité sont liés à la nature de l'activité économique qui, selon la nature des applications TIC qu'elle mobilise, expose plus ou moins les entreprises d'un secteur à certains types de problèmes. Ce phénomène est renforcé par la taille de l'entreprise qui conditionne en partie les moyens dont celle-ci dispose pour s'équiper en solutions de sécurité performantes.

On voit également que la présence d'un LAN (réseau informatique local) favorise l'occurrence de certains problèmes de sécurité.

Augmentation des problèmes de sécurité avec la présence d'un LAN
Augmentation des problèmes de sécurité avec la présence d'un LAN

Cela s'explique par le fait qu'un réseau local relie entre elles des machines qui constituent autant de portes d'entrées pour des virus, des spams, etc. En effet, chacune d'entre elles est susceptible d'être contaminée par des problèmes via ses différents lecteurs, son port USB, son e-mail, etc.

Les réseaux locaux mis en oeuvre au moyen d'une technologie sans fil (Wi-fi) représentent un danger plus grand s'ils ne sont pas sécurisés. Or 17% des PME connectées à Internet ont mis en oeuvre leur réseau local grâce au Wi-fi, mais seulement la moitié d'entre elles ont sécurisé ce réseau Wi-fi. Outre les problèmes classiques de sécurité véhiculés par les réseaux locaux, ces PME s'exposent donc en plus à des problèmes de détournement de leur réseau Wi-fi permettant de surfer sur Internet sur leur compte et de s'introduire éventuellement sur les machines constituant leur réseau.

Solutions de sécurité mises en place

Lorsque l'on examine les solutions de sécurité mises en place par les PME connectées à Internet pour lutter contre les problèmes qu'elles rencontrent, on observe les résultats suivants:

  • anti-virus régulièrement mis à jour: 93%,
  • identification des utilisateurs par mot de passe: 62%,
  • firewall: 58%,
  • code d'utilisation éthique de l'Internet: 24%,
  • réseau privé virtuel protégé (VPN): 17%,
  • signatures électroniques: 16%,
  • cryptage des e-mails: 15%.

Là encore, le total est évidemment supérieur à 100% puisque chaque PME peut mettre en oeuvre plusieurs types de solutions de sécurité.

Outre la présence désormais massive des logiciels anti-virus, il est également intéressant de constater que 58% des répondants ont mis en place un firewall (pare-feu). Cela explique sans doute aussi que les virus ne soient plus la première préoccupation des PME.

Le code d'utilisation éthique d'Internet occupe lui aussi une bonne place (24%) dans les solutions de sécurité mises en oeuvre par les PME connectées à Internet. De plus, 4% des répondants ont mentionné l'intention d'adopter ce genre de code dans les 12 mois. On peut y voir un début de preuve quant au besoin d'identification des bonnes pratiques en la matière.

Enfin, le VPN (Virtual Private Network/réseau privé virtuel sécurisé), de même que le cryptage des e-mails et l'utilisation de la signature électronique, sont mentionnés par 15 à 17% des répondants. Ces technologies se diffusent donc progressivement et sortent de la marginalité. Par comparaison avec les chiffres de 2003, le VPN et le cryptage des courriers électroniques progressent de 3%, tandis que l'utilisation de la signature électronique reste relativement stable (+1%).

La signature électronique est utilisée pour donner une valeur légale et pour authentifier un document. Elle se justifie dans des cas bien déterminés qui ne sont pas plus nombreux qu'en 2003. L'essor du commerce électronique pourrait augmenter le recours à la signature électronique à moyen terme.

Solutions de sécurité selon la taille

Si l'on regarde l'influence de la taille par rapport aux solutions de sécurité mises en place par les PME, on constate que les anti-virus régulièrement mis à jour sont le premier type de solution de sécurité implémenté dans des proportions qui varient de 78% à 96%. L'identification des utilisateurs par mot de passe et profil d'accès varie de 46 à 88%, principalement parce qu'une petite structure ressent moins le besoin d'identifier formellement des utilisateurs peu nombreux et que les grandes structures ont davantage les moyens d'engager un informaticien pour créer des profils, pour télécharger régulièrement les anti-virus et pour surveiller l'infection éventuelle de fichiers.

Paradoxalement, les entreprises de 100 ou plus personnes occupées ne citent l'anti-virus qu'à 89%, alors que 96% des structures de 50-99 disent avoir implémenté cette solution. Cela pourrait s'expliquer par le fait que beaucoup de PME de grande taille ont résolu ce type de problème et ont un service informatique interne structuré qui centralise les questions de sécurité.

La mise en oeuvre d'un firewall est, elle aussi, croissante avec la taille et varie de 45% pour les petites structures à 86% pour les 100 personnes et plus. En effet, plus une structure informatisée est grande, plus son réseau local est développé et plus il nécessite d'être protégé. Il en va de même pour les VPN (de 9% dans les petites structures à 47% dans les plus grandes).

Enfin, le cryptage du courrier électronique ainsi que l'utilisation de la signature électronique sont des pratiques moins répandues et dont l'utilisation n'est pas forcément croissante avec la taille. Quelle que soit la taille d'une PME, la signature électronique n'est nécessaire que pour les travailleurs réalisant des tâches spécifiques (suivi de commandes, ordres de paiement, courriers à valeur légale, etc.). Le cryptage des courriers électroniques nécessite aussi que l'émetteur et le destinataire du courrier crypté possèdent un même système de clé de cryptage/décryptage pour pouvoir lire ce courrier. Cette procédure, malgré tout plus lourde, ne se justifie pas pour l'ensemble des courriers électroniques d'une PME. Elle n'a son utilité que pour des courriers confidentiels.

Solutions de sécurité en fonction du secteur

La mise en oeuvre de solutions de protection informatique dépend également du secteur d'activité. En effet, l'activité économique génère des besoins de protection différents selon la valeur ajoutée de l'information qui transite par les réseaux informatiques des entreprises qui composent le secteur.

Une analyse sectorielle des différentes solutions de sécurité mises en oeuvre par les PME conduit aux constats suivants:

  • protections anti-virus: leur diffusion varie de 83 à 97%, à l'exception du commerce de détail et de l'horeca. La large diffusion des solutions anti-virus peu coûteuses ou gratuites et faciles à utiliser explique ce succès. Les exceptions que constituent l'horeca (63%) et le commerce de détail (73%) correspondent notamment à une utilisation moins intensive de l'informatique dans ces secteurs. Les dommages que pourraient causer les virus sur les ordinateurs d'une entreprise qui numérise peu d'informations stratégiques sont forcément plus limités. A fortiori, lorsqu'on se trouve dans des entreprises dont les réseaux locaux sont moins développés où les risques de propagation des virus sont plus limités également;
  • code d'utilisation éthique d'Internet: l'utilisation de ces codes de bonne conduite concerne 16 à 35% des entreprises dans les différents secteurs. Les secteurs les plus utilisateurs sont les TIC (35%), la finance (34%) et les services aux entreprises (33%). Ces secteurs sont également ceux où le taux d'accès à Internet par personne occupée est le plus élevé et où le recours aux codes d'utilisation éthique d'Internet sont les plus nécessaires. L'utilisation de ces codes s'inscrit de plus dans des cultures d'entreprises de services à haute valeur ajoutée où l'individu est responsabilisé;
  • cryptage des e-mails: le recours à cette technique varie de 9 à 29% selon les secteurs. Ce sont la finance (29%), les TIC (20%) et les garages (20%) qui appliquent le plus cette mesure de sécurité informatique. Le cryptage des e-mails, bien que disponible dans de nombreux logiciels de messagerie, est une procédure encore complexe. Par conséquent, elle ne se justifie que dans le cadre d'échanges électroniques à caractère confidentiel. C'est sans doute la raison pour laquelle le secteur des finances est le plus gros utilisateur de courriers électroniques cryptés;
  • Signature électronique: les remarques relatives au cryptage des e-mails s'appliquent globalement aussi à la signature électronique. L'arrivée massive de la carte d'identité électronique modifiera, sans doute à moyen terme, les habitudes d'authentification du courrier électronique et contribuera à en répandre plus significativement l'usage;
  • firewall: leur utilisation varie de 36% dans l'agriculture à 84% dans les TIC. Elle est liée au nombre et au degré d'intensité informationnelle des réseaux informatiques des entreprises composant les secteurs. Il est logique que les secteurs tels que l'horeca et le commerce de détail, qui ont moins l'utilité des réseaux informatiques, affichent des taux relativement faibles d'utilisation de logiciels de pare-feu (respectivement 42% et 30%);
  • VPN: le VPN est plus utilisé dans les PME fortement "en réseau" et/ou multi-sites: distribution (24%), transports (21%), garages (19%). La proportion de VPN double dans le cas des PME multi-sites. Le VPN est plus fréquent dans les secteurs technophiles: TIC (48%), services aux entreprises (24%) et finances (23%). Le cas du secteur TIC s'explique facilement par une pratique courante du télétravail;
  • identification par mot de passe: l'intensité de l'utilisation de cette mesure de sécurité est fonction du nombre moyen d'ordinateurs par personne occupée. Les TIC (79%), les finances (79%), les services aux entreprises (73%), la distribution (67%), les garages (67%) et l'immobilier (66%) qui affichent un nombre moyen de PC par personne occupée relativement élevé ont largement mis en oeuvre l'identification des utilisateurs de leur système informatique. Néanmoins, il est important de rappeler que la définition des comptes utilisateurs doit toujours s'accompagner d'une définition des droits d'accès sans quoi cela revient à fournir des clés sophistiquées aux utilisateurs tout en laissant les portes ouvertes.
 
< Précédent   Suivant >
[ Retour ]