Bruno Migeot, expert en sécurité de l'information.
Bruno Migeot, expert en sécurité de l'information.

AVIS D'EXPERT. Officier de la gendarmerie en retraite, Bruno Migeot a été responsable de l’antenne intelligence économique pour la région de gendarmerie de Franche-Comté durant un peu plus de quatre années.

Auto-entrepreneur, il a créé 2PIE, à Dole (Jura), pour mettre à disposition des PME et TPE son expertise dans le domaine de l’intelligence économique et notamment l’amélioration de la sécurisation de l’information et la gestion de crise.

Il donne des conseils en prévision du 8 avril 2014, déjà surnommé "jour de la saint hacker".

Cliquez sur la photo pour l'agrandir.

Windows arrête les mises à jour de XP le 8 avril prochain. Cela va-t-il provoquer un risque particulier pour les entreprises dont le parc informatique fonctionne encore avec ce logiciel ?

En effet, le support du système d’exploitation Windows XPSP3 et d’Office 2003 ne sera plus assuré à compter du 8 avril 2014. Un ordinateur sur trois en entreprise fonctionne sous ce système d’exploitation.

Cela signifie qu’à partir de cette date, Microsoft ne diffusera plus de mises à jour de sécurité gratuites ou payantes. D’ailleurs deux failles de sécurité qui ont été découvertes il y a quelques mois sur XP n’ont pas été corrigées.

Les entreprises, comme les particuliers d’ailleurs, vont se trouver exposées à des risques importants. Les entreprises devront migrer vers Windows 7 ou 8 avec toutes les difficultés que cela représente, notamment pour les applications et les logiciels fonctionnant sous ce système d’exploitation.

Sans parler du temps nécessaire à un nouveau déploiement client. Contrairement au bug de l’an 2000, le danger est réel. Les hackers vont s’en donner à cœur joie. Ce sera « open bar ». Le 8 avril 2014 est déjà surnommé « le jour de la saint hacker ». Les entreprises concernées doivent se tourner rapidement vers leur prestataire informatique.

Plus généralement, quels sont les principaux risques informatiques pour les entreprises ? Le niveau est-il le même dans les grandes entreprises et les PME ?

Je dirais que le risque numéro un réside dans le fait de ne pas avoir de stratégie numérique.  Les grandes entreprises sont confrontées aux mêmes problèmes que les PME et TPE, bien que les premières possèdent des moyens humains et financiers plus importants pour organiser leur sécurité.

Les atteintes constatées visent généralement soit le patrimoine informationnel stratégique, soit la trésorerie. Celles que l’on rencontre le plus souvent sont l’intrusion, les programmes malveillants, les virus, les vols, pertes, altérations ou destructions de données, l’hameçonnage, les escroqueries.

Mais il ne faut pas oublier les ruptures de service, les arrêts de production en cas d’atteinte à l’informatique industrielle, avec les conséquences que l’on connaît.

Les causes sont diverses. Elles sont souvent humaines, volontaires ou non, et quelquefois matérielles. Dans tous les cas, les faits engendrent des pertes financières plus ou moins importantes.

L’informatique n’est que de la « mécanique » ; l’humain en reste le maître et de nombreuses atteintes sont très souvent dues à la négligence ou la mauvaise utilisation des matériels.

Quels sont les moyens pour s'en prémunir ?

Il faut tout d’abord partir du postulat que la recette miracle n’existe pas et qu’en matière de gestion des risques, le niveau zéro ne peut être atteint.

Je crois qu’avant de se résoudre à dépenser beaucoup d’argent, il est nécessaire d’améliorer la culture de la sécurité informatique. Le RSI ou le prestataire informatique ne doit pas être le seul maître du jeu. Il faut obligatoirement entamer un travail transversal dans l’entreprise.

Tout le monde est concerné. Il faut mettre en place une véritable politique globale de sécurité. De nombreuses mesures sont sans effet sur la trésorerie.

Quel intérêt d’investir dans des anti-virus coûteux si l’ensemble des utilisateurs du parc informatique possèdent les droits administrateurs sur les postes de travail.

Combien d’entreprises n’appliquent aucune règle dans la gestion des mots de passe ? Combien ne mettent pas en place de charte informatique ? Pourquoi protéger le système informatique si l’accès à l’entreprise n’est pas réglementé ?

Il est nécessaire d’attacher la sécurité à l’information et non pas seulement au contenant.

Outre le fait d’avoir un système informatique cohérent et répondant aux besoins de l’entreprise, mission incombant au prestataire informatique, il faut obligatoirement former les cadres et les salariés à vivre dans ce monde numérique.

Mieux connaître les outils pour bien les utiliser. Pourquoi laisser les personnels face aux outils numériques sans formation alors qu’on ne peut concevoir de mettre un salarié sur une machine sans apprentissage ?

Au cours de votre carrière, quel est le problème le plus marquant que vous ayez rencontré dans le domaine de la protection informatique?

Plutôt que de protection informatique, je préfère parler de protection de l’information. Le vol de données sensibles emportées sur une clé USB est aussi pénalisant pour l’entreprise qu’un vol de données par intrusion dans un système d’informations. J’ai connu de nombreuses atteintes contre les entreprises, notamment des vols de fichiers clients.

Je me souviens le cas d’une entreprise franc-comtoise dont le fichier client a été retrouvé au Maroc. Une autre, dont un ingénieur a quitté l’entreprise en emportant une grande partie des données et en altérant celles restées sur le serveur, informations qui étaient nécessaires au démarrage d’une nouvelle production.

   

Commentez !

Combien font "2 plus 8" ?