Websense : ‘Contre le risque interne, il faut miser sur la formation’

Les PME sont plus fragiles en cas de vol de données?

Une étude intitulée « Enquête sur la sécurité des PME «  et commanditée par Websense révèle l’écart qui existe entre le niveau perçu et le niveau réel de sécurisation des systèmes dans les petites et les moyennes entreprises. « Beaucoup d’entreprises se contentent de définir des chartes de sécurité, mais elles ne travaillent pas assez sur la formation et la sensibilisation des salariés. Il est important qu’elles apprennent à automatiser la vérification du processus de conformité », explique Dominique Loiselet, dg Websense France. « La première génération de solutions Websense était basée sur la logique de blocage, la seconde a consisté à favoriser la productivité du travail, la troisième a fait du Web le principal vecteur de menaces, et aujourd’hui, notre CEO Gene Hodges souhaite que les entreprises puissent contrôler l’usage de l’information. Nous ne cherchons donc plus à protéger les entreprises en bloquant à tout va, mais à protéger et à identifier l’information en circulation «  poursuit Loiselet. Les responsables et les salariés du service informatique sont convaincus (respectivement à 45% et 83%) que leurs emplois seraient menacés s’ils contribuaient à laisser infecter des machines de leur entreprise par du code malveillant. Pourtant, le document réalisé pour le compte de celui qui se targue d’être le « Google de la sécurité » souligne qu’il existe un écart inquiétant entre la perception qu’ont les responsables informatiques des protections qu’ils ont mis en place et leur efficacité réelle. Et bien que le document soit dans une certaine mesure plutôt alarmiste (une habitude chez les éditeurs de sécurité…), certains chiffres sont tout de même frappants. Par exemple alors que 98% des responsables informatiques estiment que leur technologie et leurs processus sont adaptés, plus de 50% jugent que leur entreprise est très bien protégée contre les menaces et un quart pensent être protégées à 100%. Chacun sait, pourtant, que le risque zéro n’existe pas…

Face à neuf grands risques potentiels (parmi eux: pièce jointe aux mails, réseau social, P2P, URL malveillantes..), pas une seule entreprise n’est protégée contre l’ensemble des menaces -constate l’étude. Et 15% des PME pensent qu’un pare-feu et un antivirus sont des protections suffisantes. 71% des RSSI interrogés pensent que leur entreprise devrait bénéficier du même niveau de sécurité que les grandes sociétés. Mais 46% des salariés confessent avoir un comportement à risque sur la Toile, par exemple en visitant des sites pornographiques ou en s’adonnant à du MySpace ou du Facebook… 17% avouent utiliser des services de téléchargement de logiciels gratuits. Autre enseignement de cette étude: la confiance aveugle des employés dans leur service informatique. 66% des sondés ont une totale confiance. En conclusion, les PME n’auraient pas encore adopté les bonnes pratiques en matière de sécurité: ainsi 6% d’entre elles empêchent le raccordement de périphériques USB et iPod, seulement 22% bloquent le lancement des applications P2P, 30% interdisent les pièces jointes aux messages instantanés et 31% bloquent l’accès aux sites de phishing.