Europe. Selon une étude réalisée par la société Evidian auprès de 250 sociétés européennes représentant les secteurs publics, de la finance, de l’industrie et de la distribution, de nombreuses ent...

Europe. Selon une étude réalisée par la société Evidian auprès de 250 sociétés européennes représentant les secteurs publics, de la finance, de l’industrie et de la distribution, de nombreuses entreprises sont particulièrement vulnérables aux attaques, notamment internes : sabotage, escroquerie, espionnage, terrorisme informatique … La diversité des approches culturelles entre pays européens est également un facteur de risque. 70 % des attaques sont dues à des utilisateurs internes, liées soit à de simples erreurs accidentelles, soit au vandalisme ou terrorisme, à la fraude ou à l’espionnage. Les 30 % restants sont des attaques externes de pirates. Cette menace est d’autant plus sérieuse que jamais les entreprises n’ont été aussi vulnérables. Artère vitale désormais du fonctionnement des entreprises et, au-delà de l’économie mondiale via Internet et les réseaux de données, les systèmes d’information sont un point névralgique dont la mise à mal est dangereusement facile et peut avoir des conséquences catastrophiques. Selon l’étude, la Grande-Bretagne et l’Allemagne sont les pays les plus sensibles aux attaques internes, délibérées et malveillantes. Au Benelux, en France, en Scandinavie et en Espagne, les entreprises estiment que les risques proviennent plutôt de dégâts accidentels que de sabotages. Ainsi, 45 % des problèmes seraient causés accidentellement par le personnel au Benelux et en Espagne, contre 25 % de dommages délibérés. L’Italie est le seul pays où la principale menace est nettement perçue comme externe. 35 % des sociétés interrogées estiment que les attaques externes délibérées sont la principale source de dommages. L’Allemagne mentionne aussi une forte proportion d’attaques externes. Pour la majorité des sociétés en Italie, au Benelux, en Scandinavie et en France, le site web est l’élément le plus vulnérable de leur système d’information. La sécurité de l’intranet préoccupe les dirigeants allemands et espagnols. Les entreprises anglaises se font plus de soucis pour les bases de données. Globalement, ce sont en moyenne les bases de données internes qui sont réputées subir le moins d’attaques, suivi par l’extranet. Les entreprises du Benelux, d’Allemagne, d’Espagne et de France considèrent les virus comme le type de violation à la sécurité le plus dangereux, devant les intrusions externes. Toutefois, dans des pays comme l’Allemagne et la Scandinavie, ayant un fort taux d’utilisation d’Internet, les intrusions externes sont perçues comme très dangereuses. Pour les entreprises anglaises, les sabotages représentent la plus grande menace. Un grand nombre d’entreprises italiennes sont préoccupées par les impacts de la fraude financière. Globalement la menace la plus faiblement perçue est celle provenant des employés, ce qui est en contradiction avec les chiffres des attaques, majoritairement internes. Les pare-feux, associés à des anti-virus, sont de loin les produits les plus utilisés pour lutter contre l’insécurité. La France, la Grande-Bretagne et la Scandinavie privilégient comme solutions de sécurité pour protéger les systèmes d’information internes, l’authentification des utilisateurs par login/mot de passe, carte à puce ou certificat électronique et la limitation des droits d’accès aux domaines accrédités. Pour les autres pays, la sécurité d’accès interne aux applications semble être une préoccupation moins partagée. La technologie la moins diffusée est celle des certificats électroniques (PKI). La prédominance est donnée aux mesures de protection dites de « périmètre », c’est-à-dire protégeant l’entreprise contre l’extérieur, au détriment des mesures de contrôle généralisées, pourtant essentielles pour la protection interne. Le montant des dépenses consacrées à la réparation des infractions à la sécurité s’élèverait en moyenne à 500 000 dollars par an en France, contre une moyenne annuelle allant de 50 000 à 250 000 dollars dans le reste des pays européens. Les entreprises sont peu enclines généralement à communiquer sur les attaques dont elles font l’objet. De plus, de nombreuses attaques ne sont pas détectées. Des défauts de qualité de service des systèmes d’information pourront ainsi, souvent passer pour de simples défaillantes de systèmes et logiciels alors qu’ils peuvent aussi être causés par des attaques. Selon une récente étude ICSA, les entreprises mettant en place une politique de sécurité dénombrent plus d’attaques. L’étude conclut qu’aujourd’hui la sécurité n’est plus seulement une protection contre les risques, mais la condition même de la survie des entreprises et de l’accès au marché. On se protège trop souvent seulement contre les barbares qui sont aux portes, en oubliant que les plus nombreux sont déjà dans la place. La sécurité est une affaire de culture et de comportements. La prise en compte, à ce titre, des différences culturelles entre pays, reste un paramètre important. (Christine Weissrock – Atelier BNP Paribas – 19/09/2001)