Par la rédaction le 26/02/2004
Comment se protéger dans le monde du travail mobile ?
CYBER NETWORKS alerte les entreprises sur les risques inhérents à la guerre d´information économique. Ssociété de conseil et d´intégration, spécialiste technologique de la sécurité Internet, met en garde les directeurs informatiques et les chefs d´entreprise sur les dangers qu´encourent le système d´information et les données sensibles ainsi que sur les conséquences juridiques qui en découlent.
Anticiper l´environnement futur de l´entreprise
L´intelligence économique est devenue un outil de décision stratégique. Nombre d´entreprises la pratiquent afin d´améliorer leur compétitivité. La mondialisation des échanges, la globalisation des marchés, l´innovation technologique multiplient les risques. Dans un univers où la masse des informations augmente et se complexifie, il est nécessaire d´adopter une attitude d´anticipation en exploitant les informations vitales pour l´entreprise. La connaissance dynamique de l´environnement économique et socioculturel permet d´analyser les tendances et d´anticiper certaines évolutions afin de prendre les meilleures décisions.
Bâtir la mémoire de l´entreprise
Le système d´information se trouve au c?ur de l´intelligence économique, par ses fonctions de stockage, d´analyse et de traitement. Les directions informatiques constituent les bibliothèques de connaissances de l´entreprise, détectent les bonnes pratiques d´organisation, recueillent les informations brutes et les renseignements sensibles, etc. qui permettront de faire face à la "bataille économique". De tels enjeux supposent la mise en place d´une politique globale de sécurité. Il est de la responsabilité du DSI de doter son entreprise ou son administration d´un réseau d´échanges opérationnel et sécurisé.
Plus d´un milliard d´euros perdus
La prise de décision passe par une phase de renseignements et exige une protection absolue de l´information. Trouver, cibler, qualifier et sécuriser l´information sur Internet est désormais une fonction indispensable. Internet est utilisé comme outil de veille et d`intelligence économique. Les données recueillies sont traitées, analysées et diffusées. Autant d´actions que le système d´information permet d´industrialiser. Encore faut-il valider puis sécuriser les informations recueillies ! Espions et pilleurs fourmillent sur les réseaux, du simple hacker au responsable du renseignement. Leur objectif : trouver des fichiers clients, des " secrets " commerciaux, des plans de recherche et développement, des listes de prix... Ces actions criminelles représentent 1,2 milliard d´euros de pertes en France. De quoi inciter cadres et dirigeants à la prudence !
Des millions d´actes de malveillance
Faut-il prendre l´espionnage industriel au sérieux ? Assurément. Il s´agit d´une réalité à laquelle toutes les entreprises sont confrontées d´une manière ou d´une autre. Les actes de malveillance informatique et d´espionnage se multiplient : attaques virales, intrusions, usurpations d´identité (on estime à 750 000 le nombre de vols d´identité chaque année aux USA), espionnage informatisé, vols et destructions de données confidentielles, menaces combinées, vols d´ordinateurs portables, de PDA...
Les nouvelles technologies - PDA, agendas électroniques, GPRS, terminaux mobiles aux fonctionnalités multiples - sont en pleine expansion. Dans le même temps, les points publics identifiés comme les hôtels, les aéroports, les hotspots..., se multiplient, facilitant le raccordement à Internet. De plus en plus utilisés par les hommes d´affaires, P-DG et cadres dirigeants, porteurs d´informations sensibles et stratégiques, ces nouveaux systèmes suscitent la convoitise des pirates informatiques. Leur intégration au système d´information de l´entreprise présente un risque important. Les études montrent que 57% des usagers ne chiffrent pas les données de l´entreprise qu´ils stockent sur leur PDA, que 33% d´entre eux n´utilisent pas de mot de passe pour accéder à leur PDA et que 25% stockent leurs références bancaires sur leur PDA ! (Pointsec Mobile Technologies, PDA Usage survey 2003). Les risques augmentent donc avec le développement de la mobilité. (Se reporter à " La sécurité des terminaux mobiles de poche ", Livre Blanc édité par CYBER NETWORKS*).
Une guerre au quotidien
La cybercriminalité et l´espionnage assisté par ordinateur croissent (20% en 2002). Le développement de l´e-business et l´utilisation de messageries instantanées et de logiciels d´échanges de fichiers musicaux sur le lieu de travail, facilitent les attaques. Prendre le contrôle d´un système informatique ou écouter une ligne téléphonique est un exercice banal pour un hacker. Le piratage centré sur les réseaux croît en même temps que les réseaux sans-fil se développent. L´expansion du wi-fi engendre un réel besoin de sécurité ! Il existe des failles, faciles à exploiter. Les pirates s´y engouffrent, par jeu ou pour des raisons plus malsaines : espionnage, intrusion, déni de service... SCO, en proie à un déni de service n´a-t-il pas dû fermer son site ? Ce n´est pas un hasard si le " war-driving " (détection et piratage automatisé de réseaux sans-fil vulnérables à bord d´une voiture) devient une véritable mode dans les centres urbains. Aux Etat-Unis, certains sont même passés au " war-flying " (même principe à bord d´un hélicoptère) ou inscrivent à la craie des renseignements (" war-chalking ") indiquant la proximité et les caractéristiques d´un point d´accès. Les serveurs de réseaux informatiques sont devenus la cible privilégiée des pirates (voir " La sécurité des systèmes sans-fil ", Livre Blanc édité par CYBER NETWORKS).
Le danger vient de l´intérieur comme de l´extérieur ! Les entreprises commencent à se protéger contre les virus et contre les hackers, mais négligent souvent les pirates qui opèrent de l´intérieur. Les pirates informatiques qui pénètrent dans un système d´information peuvent dérober des informations et nuire en détruisant ou détériorant des fichiers. Exploitent-ils les failles du système pour leur propre compte ? Pour celui d´un concurrent ? Quoi qu´il en soit, les attaques sont constantes et sournoises. Le cyber-espionnage n´appartient pas à la fiction.
Les entreprises françaises sont beaucoup trop confiantes en matière de sécurité. En dépit d´un sentiment de dépendance toujours fort à l´égard de leur système d´information, elles ne sont que 36% à avoir défini une politique de sécurité. Et 60% d´entre elles déclarent même n´avoir subi aucun incident en 2002. Il est vrai que peu d´entre elles avouent avoir été victimes d´un piratage pour ne pas donner une image de défaillance.
Connaître les risques pour les prévenir
Les parades contre le pillage informatique existent. Cependant seule une politique de prévention permet d´éviter les attaques et les dégâts qu´elles provoquent. La protection du système informatique passe par la sensibilisation de chacun aux règles élémentaires de la sécurité. Or, près de 80 % des informaticiens d´entreprise n´ont jamais suivi de formation à la sécurité ! C´est parce que les conséquences peuvent se révéler dramatiques pour l´entreprise que CYBER NETWORKS, spécialiste de la sécurité, se doit de mettre en garde les chefs d´entreprise et les directeurs informatiques. Le sabotage des réseaux fait aussi partie de la panoplie des outils d´espionnage industriel. Les ondes radio émises peuvent être captées et espionnées par un simple récepteur passif placé dans la zone de couverture ! " Il est primordial que les responsables informatiques intègrent les technologies mobiles et sans-fil en connaissant les risques qui s´y rapportent et en tiennent compte pour établir leur politique de sécurité globale ", souligne Laurent Charvériat, directeur général et CTO de CYBER NETWORKS. " Afin de sensibiliser les entreprises aux menaces sécuritaires liées aux réseaux sans-fil et aux terminaux mobiles de poche, nous avons publié deux Livres Blancs* qui décrivent les dangers et indiquent les mesures à prendre pour protéger le système d´information ", conclut-il.
Responsabilité des dirigeants
" La mise en ?uvre de projets de mobilité a des conséquences juridiques, notamment en ce qui concerne les informations diffusées ", rappelle Théodore-Michel Vrangos, cofondateur et Président de CYBER NETWORKS. " En ouvrant largement leur informatique au monde extérieur, les entreprises mettent en danger leurs données les plus confidentielles et les plus stratégiques. Une entreprise qui se fait dérober des informations encourt des poursuites juridiques. En cas de procès, la loi française spécifie que ses représentants sont coupables si toutes les précautions utiles n´ont pas été prises. C´est la justice qui apprécie le degré de sensibilité des informations et les efforts mis en place. L´employé malveillant n´est donc pas la seule personne qui risque une amende et une peine de prison : dirigeants, mandataires sociaux et DSI partagent ce risque avec lui ", poursuit-il.
La gestion efficace des risques suppose l´assurance contre la perte de données. " En partenariat avec Marsh, leader mondial du courtage d´assurance, nous répondons au besoin de l´assurance du numérique. Notre approche globale de la sécurité permet à nos clients d´avoir accès à l´assurance des risques et à la prévention des dommages immatériels : altérations ou pertes de données, malveillance, virus... ", explique Théodore-Michel Vrangos. CYBER NETWORKS analyse la sécurité du système d´information et des réseaux. Cette évaluation s´opère à partir d´un référentiel technique et juridique intégrant les infrastructures physiques, logiques et contractuelles. Les résultats obtenus éclairent sur les risques encourus lors de l´établissement du contrat d´assurance du système d´information.
* Les livres blancs ´La sécurité des systèmes sans-fil´ dont la version 2 vient de sortir et ´La sécurité des terminaux mobiles de poche´ sont envoyés gratuitement par mail, sur demande express à dir-tech@cyber-networks.fr
A propos de Cyber Networks
Créée fin 1995, Cyber Networks se positionne comme un spécialiste technologique de l´Internet sécurisé apportant, à travers son offre de services de Net-Sizing?, des solutions dans les différents domaines du marché de la dématérialisation sécurisée des flux : conseil et audit de sécurité, développement d´applications Intranet/Extranet sécurisées, intégration de solutions de sécurité et de réseaux IP, mise en oeuvre de systèmes de messagerie sécurisée et d´annuaire d´entreprise, solutions de haute disponibilité pour les applications Internet et de commerce électronique. Dans une étude récente d´IDC, Cyber Networks est reconnue comme l´un des acteurs majeurs de la sécurité.
Basée à Paris et avec deux agences à Lyon et à Nantes, Cyber Networks a réalisé un chiffre d´affaires de 13,2 M? en 2003 et compte aujourd´hui en moyenne 75 collaborateurs hautement spécialisés dans le domaine de la sécurité. Sa clientèle est constituée de grandes entreprises et administrations telles que : Aréva, Aventis, AXA, Banques Populaires, BNP-Paribas, Carrefour, Cegetel, Communauté Urbaine de Lyon, Crédit Agricole Indosuez, Crédit Lyonnais, Crédit du Nord, FNAC, Framatome, France Telecom, Havas, LDCom, Libération, Casino, Orange, Présidence de la République, Prisma Presse, Sanofi-Synthélabo, SNCF, STMicroelectronics, Unesco, Vivendi Universal, 9 Télécom, etc.