Patrick Le Guyader,
consultant en sécurité
des systèmes d'information

Les PME-PMI sont totalement désarmées, ignorant leur vulnérabilité grandissante face aux nouvelles formes de délinquance informatique. Comment réagir ?

Des chiffres
alarmants

   Le Club de la sécurité informatique (Clusif) estime que les malveillances informatiques ont été, en 1996, à l'origine de 61 % des sinistres informatiques, représentant 8 milliards de pertes pour les entreprises françaises. Selon le commissaire principal Padoin du service d'enquête sur les fraudes aux technologies de l'information, moins de 10 % des affaires repérées sont rapportées aux services de police concernés. En fait, la crainte d'une médiatisation de l'incident rend les victimes très prudentes. Actuellement, la vulnérabilité informatique des entreprises est en passe de devenir le risque industriel et économique numéro un en France, comme dans les autres pays industrialisés.

Il faut réagir vite

    Il est urgent que les chefs d'entreprise prennent conscience de leur vulnérabilité, pour la protection de leur patrimoine et donc de leur outil de travail. Cette prise de conscience doit s'accompagner d'une démarche sous forme d'un audit ou état des lieux :

  • sur le plan de la sécurité physique,
  • sur le plan de la sécurité physique et logique par système d'information (micro-informatique, mini-informatique, télécom-munications, etc.),
  • sur le plan de l'organisation générale de la sécurité des systèmes d'information (SSI) dans l'entreprise,
  • sur l'identification des populations de passage (intérimaires, stagiaires, CDD...),
  • sur le plan de la sécurité juridique.

Vous êtes
responsable

    Le nouveau code pénal de mars 1994 stipule dans son article 121-2 la responsabilité pénale de la personne morale. L'entreprise se doit actuellement d'intégrer la dimension juridique dans la gestion de ses systèmes d'information auprès :

  • des prestataires de services, par la mise en place de prescriptions de SSI dans les contrats,
  • des personnels, en les informant notamment que la responsabilité pénale des personnes morales n'exclut pas celle des personnes physiques, auteurs ou complices des mêmes faits.

Des mesures à
prendre

    Une fois cet audit réalisé, il est important de rédiger une politique de SSI, destinée à mieux identifier le patrimoine de l'entreprise, d'en assurer la protection et d'en définir des règles d'organisation. Ce document de référence sera remis à l'ensemble du personnel pour application. Pour compléter la stratégie de sécurité de l'entreprise, la sensibilisation du personnel s'avère indispensable sur :

  • les aspects législatifs et réglementaires,
  • la protection du patrimoine de l'entreprise,
  • la protection en matière de bureautique et de micro-informatique,
  • la constitution d'un code secret.

Une guerre à gagner

    A l'heure où vont monter en puissance la mondialisation de l'information, l'espionnage et le renseignement concurrentiel, l'utilisation incontrôlée d'outils, notamment sur l'internet, il convient d'être de plus en plus vigilant. Dans ce contexte géopolitique, parfois assimilé à une véritable guerre de l'information, ce sera le vrai défi à relever par les entreprises françaises, face à une concurrence internationale de plus en plus agressive.

Vous n'êtes
pas seul

    Les entreprises sont aidées par des organismes d'Etat qui mènent des actions permanentes de sensibilisation, tels la DST (Direction de la surveillance du territoire), la BRCRI (Brigade centrale de répression de la criminalité informatique) et le SEFTI (Service d'enquête sur les fraudes aux technologies de l'information).

Propos recueillis par Odile MENARD