La sécurité informatique concerne aussi (surtout) les TPE / PME

Le ministère canadien de la sécurité a fait paraître dernièrement une intéressante étude sur la sécurité informatique des petites entreprises.

Voici qui devrait permettre à tous les dirigeants de mesurer le problème et surtout de faire ce qu’il faut pour s’en prémunir.

Seules les grosses sociétés sont concernées ? FAUX

90% des dirigeants de petites entreprises pensent qu’un problème de sécurité informatique aurait de graves conséquences.

Les pirates ne cherchent que l’argent ou les secrets industriels ? FAUX

Les dossiers de vos clients, vos contacts, les informations sur vos employés sont également des cibles de choix.

La menace informatique c’est d’abord technique. VRAI mais pas seulement.

Si les virus et autres méthodes d’ingénierie informatique menacent en priorité les entreprises, les malveillances humaines ne sont pas à négliger, loin de là !

Mon informatique mobile (smartphone, tablette, PC portable) est vulnérable ? VRAI

En fait, c’est même aujourd’hui la première source de vulnérabilité.

Pour un pirate, toute information récupérée est bonne ? VRAI

Numéro de CB, dossiers médicaux, information confidentielle ou personnelle, n’importe quel vol de données peut être valorisé par un pirate et être une source de préjudice pour l’entreprise.

Les conséquences d’un vol informatique ne sont pas graves ? FAUX

Dans presque 50% des cas, cela signifie une perte directe de clients et votre image peut durablement être atteinte.

Un vol informatique coûte cher ? VRAI

Chaque vol de dossier a un coût estimé à 1088$ canadien (soit environ 830€). On comprend vite qu’une PME se voyant voler un fichier clients contenant une centaine de dossiers va avoir du mal à s’en remettre.

Comment se protéger ?

Notre approche de la sécurité informatique des entreprises se fait en plusieurs étapes pouvant être mise en place dans le temps.

1. Savoir où l’entreprise en est : quel patrimoine numérique est à protéger, où sont les vulnérabilités, quels sont les menaces réelles et les scénarios plausibles
2. Mettre techniquement à jour les protections et les tester par un test d’intrusion
3. Sensibiliser l’organisation, ajuster les pratiques et contractualiser l’engagement de chacun avec une charte informatique
4. Enfin pour être complet, anticiper le pire et mettre en place un Plan de Continuité/Reprise d’activité en cas de sinistre majeur (PRA / PCA)

Combien cela coûte-t-il ?

• La phase 1 représente 2 à 3 jours de travail pour une petite structure
• La phase 2 est du même ordre pour un petit parc informatique.
• La phase 3 peut se faire en une journée de formation à la sécurité du système d’information.
• Enfin la dernière phase est sans doute la plus longue et dépend totalement de l’activité (entre 1 semaine et 6 mois).

Pour une petite entreprise, les 3 premières étapes représentent donc environ 10 jours de travail. Nous recommandons fortement de mettre en œuvre très rapidement à les phases 1 & 2.

Comme la journée d’ingénieur coûte à peu près le même prix qu’un dossier volé si votre base contient plus de 10 clients il  faut y penser sérieusement.