Les entreprises face à de nouvelles attaques informatiques

Le nombre d'incidents informatiques est en hausse dans les entreprises. Surtout, les types d'attaques ont évolué: la divulgation d'informations, la destruction de données et les fraudes sont devenues significatives. Les entreprises tardent à réagir.

Attaques de virus, vol de matériel, fraudes et, surtout, divulgation ou destruction de données sensibles… Les  incidents informatiques qui touchent les entreprises sont non seulement plus nombreux qu'en 2003, mais changent aussi de nature, d'après la dernière étude du club de la sécurité informatique français (Clusif). Plus dépendantes de l'informatique, les entreprises deviennent aussi plus vulnérables. Si les incidents liés à des causes fortuites (erreurs de logiciels, coupures d'électricité, erreurs d'utilisation, etc.) restent en pourcentage les principaux incidents de sécurité recensés en 2005, les divulgations d'informations (4%), les destrcutions de données (4%), les intrusions dans les systèmes d'information (2%) et les fraudes (2%) montent en puissance. « Les pourcentages peuvent paraître faibles au premier abord. Mais si on les cumule sur l'ensemble des entreprises, le nombre d'incidents constatés est significatif. Surtout, ce qui était hier une affaire d'exploit intellectuel de hackers est aujourd'hui une malveillance ciblée avec des intérêts commerciaux » souligne Laurent Bellefin, responsable de l'étude du Clusif. Deux explications à cette évolution. Primo, des systèmes d'information plus ouverts qu'avant (accès depuis des ordinateurs portables, applications ouvertes aux clients ou aux partenaires, wifi). Secundo, de plus en plus d'informations sensibles sont dématérialisées et gérées par des moyens informatiques. 

Face à ces menaces, la réaction des entreprises reste insuffisante. Si elles ont aujourd'hui davantage conscience du problème, elles ne sont pas passées à la vitesse supérieure pour y remédier. « Les budgets n'augmentent pas si vite que l'on pourrait l'imaginer et les projets piétinent encore » note le Clusif. Pas tant par manque d'argent que par mauvaise organisation. Au moins une entreprise sur deux n'est pas en mesure d'identifier l'ensemble des risques qui pèsent sur son système d'information. Impossible dans ces conditions d'apporter des solutions adéquates.  Et 40% des entreprises n'ont pas de dispositif qui leur permettrait de reprendre rapidement leur activité normale en cas de pépin grave. « Les entreprises ne vont pas assez vite pour aller au devant des menaces » conclut Laurent Bellefin.

Les entreprises se montrent du coup très conservatrices face au développement des nouvelles technologies de l'information et de la communication. Trop souvent, leur  réponse se limite à en interdire leur utilisation. Ainsi, 76% interdisent l'accès à à leur système d'information depuis PC exérieur non maîtrisé (cyber café, poste de travail personnel...); 73% prohibent la voix sur IP; 56 % interdisent le wifi, 43% les PDA et les smartphones et 20% interdisent l'accès au système d'information depuis un portable. Une position difficilement applicable dans les faits et surtout intenable à long terme. « Les solutions existent. Mais il faut que les entreprises anticipent davantage l'arrivée des nouvelles technologies et identifient les risques spécifiques ».