Les entreprises et leur sécurité numérique en 2015

L’INSEE a publié son rapport sur la sécurité numérique des entreprises en 2015, lequel présente une hausse de 4% des entreprises touchées par des attaques informatiques par rapport à 2010. Retour sur le paysage informatique à sécuriser, sur la raison de cette augmentation et sur les solutions pour prévenir les attaques.

Les entreprises des TIC sont les plus touchées

Sur les sociétés de 10 personnes ou plus sondées en France, 13% ont déclaré avoir subi une cyber-attaque portant atteinte à la sécurité de leurs systèmes et de leurs données.  Ces incidents ont avant tout touché les grandes entreprises (250+ personnes) avec 24% des sociétés touchées, le double des sociétés de 10-49 personnes. Ces chiffres sont sans aucun doute sous-estimés puisque les entreprises victimes de piratage ne souhaitent pas forcément le divulguer. Les incidents les plus fréquents sont dans l’ordre une panne de logiciel ou de matériel informatique, une destruction ou l’altération des données de l’entreprise, l’utilisation de programmes malveillants ou l’attaque par intrusion, comme l’attaque par rançongiciel. Les entreprises les plus touchées sont bien évidemment celles des TIC, suivies par celles des activités scientifiques/informatiques, et celles des services administratifs et immobiliers viennent compléter le podium.

La donnée au coeur de la sécurité

Les sociétés du numérique mettent en place des mesures, des contrôles et des procédures afin d’assurer l’intégrité, la confidentialité et la disponibilité des données de leurs employés et de leurs clients. Une faille dans cette mise en place et les conséquences pour l’entreprise peuvent être dramatiques aussi bien en termes de confidentialité ainsi que de budget. Cette politique de sécurité de la donnée est d’autant plus importante aujourd’hui que le développement des objets connectés tend à s’accroitre et le brassage du volume de données est de plus en plus important. Par “donnée”, nous pouvons en distinguer trois types :

• la donnée issue de l’activité de l’entreprise, comme par exemple celle générée par un outil de gestion
• la donnée à caractère personnel, comme par exemple toutes les informations liées aux ressources humaines d’une entreprise ou celles liées à ses clients
• la donnée du secret industriel, donnée ultra-confidentielle et intrinsèque au fonctionnement d’une entreprise

Quelles solutions pour sécuriser la donnée ?

Au moins deux types de solutions sont à mettre en oeuvre pour prévenir les attaques portant atteinte aux données d’une entreprise : une solution axée sur l’humain et une autre sur le matériel. La première passe la mise en place, la diffusion et la bonne prise en compte d’une politique de gestion des données respectées par l’ensemble des intervenants d’une entreprise afin de limiter le risque de divulgation d’informations, aussi bien de manière volontaire (porter sciemment préjudice à l’entreprise) ou non (utilisation de logiciels inadaptés à l’activité). La deuxième solution passe par une sécurité du matériel utilisé basée sur 4 points : le contrôle à distance par pare-feu, la sécurisation des accès sur appareils mobiles par mot de passe, l’effacement des données en cas de perte ou de vols de matériel et le contrôle de l’accès aux serveurs de manière physique (exemple : contrôle par badge).