Sources de gains de productivité, les technologies de l’information et de la communication font aussi peser des risques sur l’entreprise. Virus, intrusions, spams, erreurs de saisies ou de manipulations… peuvent néanmoins être évités sous réserve de quelques aménagements et effets d’anticipation.
Selon une étude de l’Espace Numérique Entreprises, réalisée auprès de 350 PME du Rhône, plus d’un tiers des entreprises reconnaissent perdre des données chaque année. Quelles qu’en soient les causes, ces dommages engendrent des coûts directs (remplacement des équipements, chômage technique des salariés) et indirects (perte d’image), ainsi que des conséquences parfois irréversibles. Une enquête de KPMG estime les dégâts occasionnés par ces incidents à des manques à gagner s’établissant, en Europe, entre 0,2 et 0,54 % du chiffre d’affaires annuel. S’il est assez facile de mesurer le préjudice financier représenté par la destruction et le remplacement du matériel informatique, les dommages engendrés par le vol ou la détérioration d’un fichier clients, par exemple, sont beaucoup plus difficiles à mesurer mais bien réels. Sécuriser son système d’information est donc une quasi obligation.
Les entreprises produisent et conservent une masse importante d’informations ; la première précaution à prendre est de sauvegarder chaque donnée. C’est en quelque sorte une opération d’assurance vie du capital informationnel de la PME, qui permettra de restaurer plus facilement des éléments perdus ou altérés et participera à garantir la continuité de l’activité.
La sauvegarde numérique nécessite une gestion méthodique et contrôlée. Dans un premier temps, il convient d’effectuer l’inventaire des supports d’information de l’entreprise : fichiers, bases de données, emails... une attention toute particulière devant être accordée en matière de fréquence et de support de sauvegarde aux informations stratégiques.
Selon la taille de l’entreprise, les disques durs externes, DVD-Ram ou bandes magnétiques sont utilisés pour conserver ces informations mais il est important de tester régulièrement ses sauvegardes et de s’assurer de leur bon fonctionnement. Préservation de l’intégrité des données va aussi de pair avec duplication des éléments majeurs de l’infrastructure informatique. La redondance des serveurs ou des équipements réseaux permet de poursuivre ou reprendre l’activité en cas de sinistre.
2 • Maîtriser l’accès à son Système d’Information (SI)
Afin d’éviter les actes malveillants externes et d’éventuelles maladresses en interne, des contrôles d’accès aux systèmes informatiques sont essentiels. Tous les comptes de l’entreprise doivent être régis par une politique de mot de passe (changement régulier, non divulgation aux collègues…).
Pour les connexions au SI depuis l’extérieur, le renforcement des identifications et authentifications est une précaution supplémentaire non négligeable, sachant qu’il n’est pas nécessaire que tous les utilisateurs disposent de l’ensemble des ressources disponibles. Des limites doivent donc être définies en adéquation avec le poste de chaque collaborateur.
3 • Contrôler les flux de données
Avoir une bonne visibilité de ses installations (schéma, documentation) facilite l’adoption d’un comportement vigilant. A cette vue d’ensemble, s’ajoute la mise en place de mesures garantissant la protection des données. Une entreprise est exposée quotidiennement aux risques d’attaques informatiques, il est donc primordial de mettre en œuvre de façon préventive des moyens de protection adaptés.
Contrôler les flux aux points sensibles de l’entreprise passe notamment par l’installation de firewall, filtrages web et antispam (courriers nuisibles et indésirables), permettant entre autres d’améliorer la productivité et de limiter les intrusions.
Pour assurer la confidentialité des flux dits “critiques”, tels des échanges de données stratégiques ou des fichiers confidentiels, il est recommandé de les chiffrer ou d’établir des lignes privées. Quant à la mobilité des salariés, elle induit des risques supplémentaires. Le chiffrement des postes nomades est donc efficace contre la fuite d’information. Se protéger des virus requiert enfin une maîtrise des points d’entrée et de sortie : Internet, mail, stockage amovible (clé usb).
4 • Informer et sensibiliser ses collaborateurs
A l’ère des réseaux, la prise en compte du facteur humain est fondamentale. Des actions d’information et de sensibilisation régulières auprès du personnel sont recommandées. Objectif : transmettre un premier niveau de connaissance et diffuser les bonnes pratiques de sécurité informatique à travers des discussions informelles entre employés et responsables, des notes d’information (emails courts et pratiques), ainsi qu’un affichage dans les zones sensibles (photocopieurs, bureau de R&D). Ces démarches facilitent l’acceptation et l’application de règles pouvant paraitre contraignantes.
Si l’organisation et la gestion de la sécurité incombent parfois au dirigeant, celui-ci peut aussi faire appel à un prestataire spécialisé ou créer un service dédié en interne. Enfin, chacun ayant sa part de responsabilités, la mise en place d’une charte informatique s’avère souvent opportune pour sensibiliser les salariés.
Commentaires