2021 : cap sur la sécurité informatique pour les PME suisses
Selon une étude récente, la sécurité informatique sera l’une des deux priorités des PME en 2021. Sujet récurrent, et mal nécessaire, la protection des infrastructures IT est le parent pauvre des petites entreprises. Est-ce que cette année marquera un tournant en la matière ? Probablement, et voici pourquoi.
Si la sécurité informatique est mal aimée des PME, les derniers mois auront au moins permis de montrer leur défaut en la matière. Les hackers de tout poil ne s’y sont pas trompés, multipliant les attaques, vers les grands groupes, ou encore les institutions publiques comme les plus petites des entreprises. La mise en place – parfois anarchique – du télétravail ou de l’accès à distance aux réseaux des entreprises a ouvert quelques brèches, rapidement exploitées.
Alors oui, la sécurité est contraignante. Et oui, il est assez pratique de noter ses mots de passe sur un Post-It ou de mettre en place des outils de partage d’écran grand public pour retrouver son PC professionnel depuis la maison en quelques clics. Mais à quel prix ? Les conséquences peuvent être dramatiques. Les dernières statistiques montrent qu’une entreprise sur trois dans le monde à subi une attaque d’hameçonnage de mot de passe.
Il aura donc fallu une pandémie – rien que ça – pour donner un coup de projecteur sur les trous béants laissés par plusieurs années, voire décennies, de disette dans le domaine de la protection informatique. 2021 marquera donc un virage dans le bon sens, et pour trois bonnes raisons.
Parce que le télétravail a ouvert des failles
Lorsque la Confédération a décidé le semi-confinement du pays, elle a pris tout le monde au dépourvu. Y compris les PME. Cette décision instituait indirectement le home office comme une nouvelle règle, qui s’imposait alors aux petits patrons. Tous ont dû s’y mettre, y compris les plus récalcitrants. Pour ces derniers, qui n’avaient pas envisagé ce mode de travail, le chantier était vaste. Et le temps à disposition inversement proportionnel.
Il a donc fallu faire, au mieux, des compromis, et au pire des compromissions. Evidemment, la sécurité des données s’est retrouvée sacrifiée sur l’autel de la réactivité. Et le bricolage est devenu la norme dans les PME qui ne disposaient pas déjà des outils adéquats. Les comptes de messagerie se sont donc retrouvés configurés sans contrôle sur des appareils personnels, et les données se sont échangées à grands coups de clés USB, de WeTransfer et de copies locales.
Avec la généralisation du télétravail, le volume des échanges sur le Cloud a explosé. Certains acteurs en ont tiré profit pour capter des données à moindre coût.
Quel problème me direz-vous ? Si l’infrastructure IT d’une PME dispose d’un minimum de contrôle, il n’en va pas de même des appareils privés. Qui s’assure à la maison que votre antivirus est bien à jour, ou même que vous en disposiez d’un ? Ou encore que vos mots de passe sont changés régulièrement ? La récente divulgation d’une liste de plusieurs milliards de mots de passe compromis montre à quel point les appareils personnels sont vulnérables, et dans quelle mesure les connecter au bureau revient à faire entrer le loup dans la bergerie. Les pirates l’ont bien compris.
Parce que les pirates sont sur la brèche
Ceux-ci se sont naturellement glissés dans la faille pour profiter de l’aubaine. Imaginez donc : des millions de PME, bien plus concernées par leur survie que par la mise en place académique d’outils de travail à distance, représentaient autant de proies faciles. L’occasion était trop belle. Et on a donc vu dans la presse des exemples quasi-quotidiens d’entreprises piratées, qui avaient vu leurs données cryptées ou leurs comptes dérobés. Au premier rang desquels les organismes de santé.
Si des cas de piratage – ou de négligence, au choix – remontent régulièrement à la surface, leur multiplication pendant la pandémie était significative. Et les utilisateurs déjà sous pression, comme ceux des services hospitaliers par exemple, se sont retrouvés évidemment dans l’œil du cyclone du hacking informatique. Quoi de plus attractif en effet qu’une organisation débordée, qui ne pourra pas se passer longtemps de son système informatique ?
Payer la rançon pour retrouver ses données est équivalent à un coup dés : il n’y a aucune garantie que cela aboutisse
Beaucoup ont payé les rançons demandées pour libérer leurs précieux fichiers. Mais tous n’ont pas pu les récupérer. Car en la matière, la règle ne change pas : seule une minorité des données dérobées est rendue à son propriétaire. La règle qui prévaut en la matière est simple : ne pas compter sur une telle récupération. Et donc mettre en place des mécanismes qui permettront plutôt de faire face au vol de données, quitte à perdre quelques jours de travail.
Parce que le Cloud s’est généralisé
Facteur aggravant, l’adoption massive du Cloud dans les PME a agi comme un effet cumulatif sur les risques que les PME font porter à leurs données. Là encore, une mise en place anarchique et sans préparation de ces outils aboutit fatalement à une exposition forte de ses données. Un bon exemple ? DropBox bien sûr. Cet outil bien pratique permet de stocker dans le Cloud des fichiers en pagaille, et de les partager avec collègues et partenaires.
Les plus attentifs d’entre vous auront parcouru les petites lignes des conditions générales de la version gratuite de l’outil. Et ils auront remarqué que le gratuit a bel et bien un coût. En l’occurrence, celui de la propriété de vos données. Vous avez bien lu : l’usage de la version à zéro franc de DropBox vous engage à céder le droit de propriété des tous les fichiers que vous y déposerez. Même après suppression. Une vraie manne pour ce service qui, à n’en pas douter, a pu capter depuis 12 mois des masses de données, dont certaines sont confidentielles.
Le Cloud en tant que tel n’est pas dangereux. Au contraire, il offre un niveau de sécurité informatique bien plus important que ce que la PME lambda ne pourra jamais s’offrir sur ses propres serveurs. Mais une exploitation hasardeuse vous mènera immanquablement dans le mur. Ces outils ne sont pas miraculeux, ils sont tout simplement puissants. Et requièrent encore plus d’expertise pour en tirer le meilleur profit. Pandémie ou pas.
Emmanuel Dardaine