SECURITE INFORMATIQUE

En Suisse, 63% des sociétés subissent des effractions via le Net. La prévention est la meilleure parade

Selon une étude de l'EPFZ, une majorité d'entreprises sont victimes de malveillance informatique. Invasion de spams, sabotage, vol de données ou diffusion de fausses informations, la palette des méfaits est vaste. Etat des lieux et conseils simples et efficaces.

Mafia Boy n'avait que 15ans quand il a été arrêté. Ce jeune collégien montréalais a défrayé la chronique internationale au printemps 2000 en bloquant plusieurs heures durant les sites internet de CNN, Yahoo! et Amazon. Il a ainsi provoqué des dégâts pour un montant estimé entre 380 millions et plus d'un milliard de francs suisses. Parvenant à forcer les portes d'entrée mal verrouillées de ces sites, il y a installé des sentinelles masquées qui n'attendaient qu'un ordre de sa part pour s'activer et bombarder les pages visées. Un an plus tard, il a écopé d'une peine de huit mois de prison assortis d'une amende.

Ampleur inquiétante

Ce cas d'école a été évoqué fin septembre dernier à l'occasion d'un colloque interdisciplinaire sur la gestion du risque informatique, organisé à Dorigny conjointement par HEC Lausanne, l'Ecole des sciences criminelles et la Faculté de droit de l'Université de Lausanne. L'histoire de Mafia Boy délivre trois messages: qu'il est à la portée d'un enfant de s'infiltrer dans les systèmes informatiques des entreprises, que la réparation des dommages coûte très cher et que la sanction pénale est dérisoire. «Le développement de la cybermalveillance est organique. Les criminels améliorent leurs méthodes plus rapidement que les entreprises leurs parades. En outre, ils sont peu et mal condamnés. Notamment en raison de la difficulté à constituer la preuve et à la nature excessivement technique des plaidoiries», a rappelé à l'occasion de ce colloque Benoît Dupont, professeur à l'Ecole de criminologie de l'Université de Montréal. Fort de ce constat, il recommande de mettre l'accent sur la prévention.

Une récente étude de l'EPFZ* estime à 63% le nombre d'entreprises suisses qui ont été victimes d'un incident ou d'une attaque informatique en 2005. Selon cette enquête, réalisée auprès de 562 sociétés de toutes tailles et de tous secteurs économiques, les grandes entreprises sont plus menacées que les petites, et les organisations les plus vulnérables sont celles qui s'adonnent au e-commerce.

De l'invasion de spams au vol de données, en passant par le sabotage, les atteintes au copyright et à la propriété intellectuelle, la dissémination de contenus illégaux, l'espionnage industriel ou la diffusion de fausses informations, l'ampleur des infractions est inquiétante. «En septembre 2003, les spams constituaient au niveau mondial 54% des messages électroniques échangés», précise Solange Ghernaouti-Hélie, professeur à l'école des HEC et directrice de l'Institut des systèmes d'information (ISI) de l'Université de Lausanne.

La faille humaine

Les entreprises qui ne se protègent pas encourent des risques opérationnels, légaux ou concurrentiels. «Nettoyer des machines infestées par des virus et des spams représente un énorme travail, explique Jean-Paul de Blasis, directeur du certificat de sécurité informatique à l'Université de Genève. D'autre part, la justice peut poursuivre une entreprise qui aurait diffusé, même involontairement, un virus.» Le risque d'atteinte à la réputation est également important: «Lorsqu'elles sont victimes de dysfonctionnements répétés, les sociétés perdent la confiance de leurs clients», ajoute Solange Ghernaouti-Hélie.

La menace peut venir aussi bien de pirates extérieurs, que des collaborateurs. «Le personnel qui a accès au système informatique peut procéder à des manipulations involontaires, causer des catastrophes, effacer ou corrompre des fichiers sensibles, souligne Jean-Paul de Blasis. Certains le font sous le coup de la colère, par exemple en cas de licenciement. Ils sont assez malins et placent une bombe qui ne se déclenchera que plusieurs mois après leur départ.» La naïveté des salariés et leur absence de connaissances constituent aussi une menace.

Des mesures simples

Généralement, les grandes entreprises sont bien outillées. «Elles font de la veille informatique et mettent en place des stratégies complètes de gouvernance de sécurité», confirme Solange Ghernaouti-Hélie. Mais ce n'est pas le cas des PME qui n'en ont ni les moyens financiers, ni les structures opérationnelles. Selon l'enquête de l'EPFZ, seules 32% des entreprises interrogées confient leur sécurité à un informaticien confirmé. Cependant, il existe des moyens de se protéger réellement sans se ruiner.

Les premières mesures auxquelles pensent les responsables informatiques sont de nature techniques. «La protection technologique est une illusion souvent peu efficace. En outre, elle coûte très cher et complique considérablement les processus, concède Solange Ghernaouti-Hélie. La sécurité informatique est une affaire de bon sens.»

Il ne s'agit pas de renoncer aux antivirus, pare-feu et autres boucliers, mais de ne pas s'en contenter. Selon la spécialiste, la meilleure parade est la fragmentation, le cloisonnement des environnements. «Concrètement, il faudrait prévoir deux machines, l'une pour les processus internes, et l'autre pour aller sur le Web, poursuit la spécialiste. Je conseillerais par exemple de placer des ordinateurs à la cafétéria pour les collaborateurs qui veulent surfer durant leurs pauses.»

La formation des collaborateurs est également une mesure efficace. «Elle permet de sensibiliser le personnel. Cet aspect concerne les mots de passe, l'utilisation de CD-Rom extérieurs ou la simple prudence, ajoute Jean-Paul de Blasis. Il existe des pirates très malins, qui ont l'art de la persuasion et se font donner les codes d'accès. Ils convainquent leur victime en jouant sur le désir d'aider qui sommeille en chacun.»

Et enfin, les chefs d'entreprise seraient bien inspirés de rédiger une charte des bons et mauvais comportements à l'usage de leurs employés. «Finalement, le premier risque, c'est la dépendance à la technologie, conclut Solange Ghernaouti-Hélie. Le retour en arrière est impossible, mais il faut prévoir des solutions de secours.»

* Sécurité informatique dans les entreprises suisses, enquête sur les menaces, la gestion des risques et les formes de coopération, ETH Zurich, août 2006

Publicité