Une étude commandée par Symantec confirme que les petites et moyennes entreprises, à l’échelle mondiale comme au Québec, n’accordent pas toute l’importance nécessaire à la sécurité informatique. Des enjeux de temps, d’argent et de ressources, mais aussi de connaissance et de terminologie expliqueraient ces carences.
La firme Applied Research a réalisé en février 2009 une étude auprès de 1 425 petites et moyennes entreprises situées dans 17 pays, pour le compte de l’éditeur de solutions de sécurité Symantec. Parmi les 200 entreprises canadiennes interrogées, 55 étaient situées au Québec alors que les autres étaient localisées en Ontario et en Colombie-Britannique.
À l’échelle mondiale, les enjeux de sécurité qui seraient très préoccupants ou plutôt préoccupants pour les PME seraient les virus (79 % des répondants), les brèches de sécurité (75 %) et la perte de données et d’information confidentielles ou propriétaires par le courriel (72 %). La connexion des ordinateurs portatifs et des « appareils à distance » (remote devices en anglais) aux réseaux informatiques (71 %) et la gestion de multiples technologies de sécurité (71 %) susciteraient également des préoccupations.
À l’inverse, les enjeux pas ou peu préoccupants seraient la perte de données et d’information confidentielles ou propriétaires par le courriel (16 %) et par des supports USB ou autres (17 %) ainsi que les arnaques par hameçonnage (17 %). Par ailleurs, 26 % des répondants seraient peu ou pas préoccupés par les attaques provenant de l’interne.
À propos des solutions informatiques utilisées au sein des organisations, 66 % des répondants utiliseraient des antivirus, 62 % des solutions de recouvrement et de sauvegarde des données des serveurs, 55 % des solutions antipourriel, 41 % des solutions de protection d’extrémité (ordinateurs portables et portatifs, assistants numériques, etc.) et 43 % des solutions de recouvrement et de sauvegarde des données des postes de travail.
Ainsi, on remarque que 35 % des organisations n’ont pas de solution antivirus, 40 % n’ont pas de solution de sauvegarde des serveurs. L’absence la plus prononcée parmi les solutions de sécurité faisant partie du sondage est celle des solutions de protection d’extrémité (59 %). Par ailleurs, la proportion des entreprises qui n’a pas l’intention d’instaurer des solutions du genre varie de 5 % à 14 %.
Les brèches
Le sondage d’Applied Research s’est intéressé aux brèches de sécurité dont les PME ont fait l’objet.
À une question qui portait sur les raisons qui ont causé des brèches de sécurité, 70 % des organisations sondées ont fait état de bris de systèmes ou de panne de matériel. 54 % ont évoqué la perte ou le vol d’ordinateurs portatifs, de téléphones évolués et d’assistants numériques, 44 % ont mentionné l’erreur humaine et 41 % des désastres naturels et sur les lieux de l’entreprise.
L’étude indique que 37 % des entreprises interrogées n’auraient pas de personnel dédié au soutien et que les budgets médians qui sont consacrés à la sécurité et au stockage seraient de 6 000 $US. Surtout, les barrières à l’application d’une sécurité adéquate seraient l’insuffisance du budget (47 % des répondants), le manque de temps pour réaliser les tâches (34 %), la conscience des menaces de sécurité (31 %) et les connaissances des employés (26 %). Enfin, 91 % des organisations auraient l’intention d’appliquer un budget stable ou croissant pour la sécurité et le stockage au cours des prochains mois.
Au Québec
Les 55 petites et moyennes entreprises du Québec qui ont été interrogées pour le sondage ont indiqué que leurs préoccupations en sécurité se situeraient au niveau des virus (79 %), des brèches de sécurité pour les données (73 %), de la perte de données par courriel (73 %), de la perte de données par les clés USB ou les appareils (72 %) et des ordinateurs portatifs et des « appareils à distance » (71 %). Inversement, ce sont les attaques provenant de l’interne (24 %), les pourriels (18 %) et les menaces par hameçonnage (15 %) qui susciteraient le moins de préoccupations.
Au niveau des solutions de sécurité utilisées, 65 % des entreprises sondées utiliseraient des antivirus, 58 % auraient recours à la sauvegarde et au recouvrement des données sur leurs serveurs et 53 % procéderaient à l’archivage des courriels. Alors que les autres solutions de sécurité qui étaient inscrites au sondage étaient utilisées par 31 % à 49 % des répondants, on constate que 42 % des PME répondantes ne feraient pas la sauvegarde de leurs données sur les serveurs et que 35 % des organisations sondées n’auraient pas d’antivirus en place.
Alors que 29 % des organisations québécoises auraient déjà subi une brèche de sécurité – contre 17 % pour les répondantes en Ontario et 36 % en Colombie-Britannique – les principales raisons qui auraient causé une brèche seraient la perte ou le vol d’un appareil portatif (63 %), l’erreur humaine (56 %) et le bris d’un système (56 %). Enfin, les deux principales barrières à l’implantation de solutions de sécurité au Québec seraient le manque de temps (42 %) et, ex aequo, l’argent et les compétences des employés (33 %).
Réponses surprenantes
Puisque ce sondage a été commandé par Symantec, les questions du sondage avaient trait à des enjeux de sécurité et à l’utilisation de solutions de protection qui correspondent à des produits et services que le fournisseur offre sur le marché.
Certains résultats suscitent des interrogations quant à la perception des petites et moyennes entreprises envers les enjeux de sécurité informatique. Par exemple, l’inquiétude moindre envers les menaces pouvant provenir de l’intérieur de l’organisation, les pourriels et l’hameçonnage et les divergences entre les préoccupations envers les ordinateurs portatifs et celles envers les autres types d’appareils portables sont quelque peu surprenantes.
Michael Murphy, le vice-président et directeur général de Symantec Canada, n’est pas surpris de constater que la sécurité revêt une grande importance au sein des petites et moyennes organisations. Toutefois, il s’interroge à propos du choix de la terminologie utilisée dans les choix de réponse du sondage mondial qui pourrait avoir causé de la confusion – en donnant l’exemple de l’expression remote devices – mais il s’interroge aussi à propos de la compréhension par les PME de la terminologie employée en général en sécurité. Il se dit également surpris par le nombre élevé de répondants qui ont identifié des bris et des pannes de matériel ou des désastres naturels comme étant des causes de brèches de sécurité.
Également, M. Murphy est étonné de voir la proportion de PME qui n’ont toujours pas d’antivirus, alors que la plupart des systèmes informatiques neufs sont livrés avec un antivirus installé en version complète ou activée pour une période limitée. Il se demande si ces organisations se procurent des ordinateurs sans logiciel ou si elles effacent le contenu pour installer leurs propres configurations de système. Toutefois, le peu d’inquiétude des PME envers les menaces liés aux pourriels pourrait s’expliquer par l’offre de services de filtrage par les fournisseurs d’accès à Internet.
M. Murphy affirme que les organisations n’ont pas nécessairement les connaissances nécessaires pour bien saisir les menaces émergentes, ni le temps à accorder pour la mise à jour de ces connaissances. Il ajoute que le sondage démontre un manque de compétences des PME en sécurité de l’information.
M. Murphy estime que les PME pourraient simplifier leur gestion de la sécurité en ayant recours à une console de gestion centralisée. Il croit aussi que les PME auraient intérêt à impartir les fonctions liées à la sécurité de leurs systèmes informatiques à des fournisseurs externes, tout comme elles le font pour le service de paie. Il estime que des opportunités s’offrent ainsi à des fournisseurs locaux ou régionaux pour desservir ces organisations qui sont très nombreuses au Canada.
Jean-François Ferland est journaliste au magazine Direction informatique.