Etat des lieux des accidents informatiques

La principale menace informatique qui guette une entreprise ne vient pas du grand large, mais de l’intérieur. Les collaborateurs sont à l’origine de plus de la moitié des sinistres informatiques recensés par une enquête du Clusif (Club de la Sécurité des Systèmes d’Information français). Dans l’Hexagone, les pertes engendrées, toutes catégories confondues, atteignaient 2,8 milliards d’euros en 1998, en hausse de 50 % par rapport à 1994. En moyenne, une PME déclare subir une demi-douzaine de sinistres par an.
Cette menace interne est un avertissement, au moment où les PME commencent tout juste à s’approprier l’outil internet, qui les expose à des risques d’un type nouveau. Elles ne seraient encore, selon le Clusif, que 12 % à échanger via un extranet avec leurs clients et leurs partenaires. Lorsqu’elles y viendront, elles devront avoir intégré toutes les parades liées aux risques internes, sous peine de se trouver prises en tenaille, et d’avoir à affronter le risque informatique, simultanément sur deux fronts.

L’erreur est humaine… mais coûteuse

Environ un quart des sinistres reconnus par les entreprises provient d’une erreur d’utilisation. Les erreurs de saisies sont les plus courantes. Leurs conséquences sont difficiles à chiffrer, ce phénomène étant considéré comme quotidien, voire “normal”. D’autres erreurs courantes, proviennent d’une mauvaise maîtrise d’applications complexes, et relèvent directement d’un défaut de formation des collaborateurs.
La négligence et la méconnaissance d’internet peuvent ouvrir une brèche dans le dispositif de sécurité mis en œuvre par l’entreprise. Un employé peut récupérer un virus et, sans le vouloir, le diffuser dans toute la société. Dans ce cas, des dysfonctionnements internes se conjuguent à des menaces de l’extérieur, provoquant des dégâts difficiles à évaluer
Accidents physiques, dégradations volontaires et vols de matériels sont plus faciles à chiffrer, pour une entreprise. Sans être propres au système informatique, ils ne l’épargnent pas et peuvent entraîner des dommages spécifiques : pertes de données, interruption de service, etc.

Les conséquences de ces défaillances d’origines diverses peuvent être graves. La détérioration de ressources informatiques entraîne régulièrement :
• des pertes d’exploitation directes,
• la détérioration de l’image de l’entreprise. De petits soucis informatiques peuvent se transformer en gros problèmes financiers. Aucune entreprise n’est à l’abri, même si toutes se montrent discrètes sur le sujet, avouant rarement avoir subi de tels préjudices, signes d’un manque de vigilance de leur part.

Sauvegardes, mots de passe et anti-virus plébiscités

Pour se protéger de ces menaces, les entreprises s’équipent … doucement. S’il faut en croire le Clusif, les entreprises circonscrivent leur protection à trois types d’approches :
• les procédures classiques de sauvegarde de données,
• l’emploi de mots de passe, censés verrouiller l’accès aux ressources sensibles,
• le recours à des anti-virus.
Mais l’efficacité de ces outils varie, selon la rigueur avec laquelle on les met en œuvre. Eventés ou mal protégés, les mots de passe sont d’une très faible utilité. Les logiciels anti-virus ne sont efficaces que s’ils sont régulièrement mis à jour, pour prendre en compte les derniers virus connus. Or les entreprises de plus de 200 salariés ne mettent à jour leur antivirus qu’une dizaine de fois par an, soit une mise à jour mensuelle (Source : Clusif). Celles de moins de 200 salariés ne le font que trois fois par an. Ce qui est largement insuffisant. Pour cette association, cela pose le problème de la prévention chez les petites et moyennes entreprises.
La forte évolutivité des risques informatiques est encore mal perçue. L’installation de pare-feu, encore rare chez les PME, ne sert à rien si celui-ci n’est pas configuré correctement.