Sans doute parce qu'il y a quelques jours j'ai rencontré un patron de PME en pétard car victime d'un vol de données, de savoir-faire et de secrets d'affaires, se traduisant dans les faits par l'émergence d'une nouvelle concurrence, des tentatives de détournements de clientèle et d'une guerre des prix, ma requête matinale s'est intéressée à l'espionnage en PME. La (bonne?) surprise a été que la requête [
pme espionnage] dans le moteur de recherche n'a renvoyé que très peu d'occurrences récentes. L'impression qui se dégage des résultats de cette requête, une baisse de "popularité" du sujet, est confirmée par trends.google. Espérons que cette évolution soit celle des cas d'espionnage dont seraient victimes les PME.
Après, s'agissant de vols de données ou de secrets d'affaires, on a l'impression qu'un grand amalgame est proposé aux responsables d'entreprises, regroupant des risques et des situations assez disparates allant du comportement indélicat d'un employé guidé par l'esprit de lucre aux demandes crapuleuses de rançons en passant par le véritable espionnage industriel ou l'absence de conscience du personnel. Et dans le débat, c'est la cyber sécurité qui impose sa loi et sa logique, probablement car c'est le domaine dans lequel il y a le plus de bénéfices à faire pour les acteurs externes (aux entreprises).
Dans le domaine, j'ai apprécié le récent document de KPMG Switzerland dont on peut assez aisément étendre le propos à la sécurité des données et des capitaux immatériels des entreprises (The five most common cyber security mistakes -
http://tinyurl.com/hqtff6h). Les erreurs mises en avant sont:
- il faut assurer la sécurité à 100%
- la mise en place des meilleurs outils assure la sécurité maximale
- les armes et les moyens doivent être meilleurs que ceux des assaillants
- la qualité de la cyber sécurité dépend de la surveillance
- il faut recruter les meilleurs techniciens pour se défendre contre les cyber attaques
KPMG complète cette liste d'erreur d'un tableau comparatif, opportunément caricatural, entre l'attitude commune en matière de cyber sécurité et celle, de bon père de famille, d'un bijoutier.
Ce qui ressort de ceci, c'est que la sécurité des données commence par une prise de conscience, suivies de décisions de gestion, y compris du personnel, pour enfin se terminer par de la technologie. Ce constat est illustré par les résultats d'une enquête récente menée par KPMG auprès d'entreprises suisses et qui montre certaines faiblesses dans les comportements (Swiss companies underestimate the threat posed by cybercrime -
http://tinyurl.com/j4na54s). Tout en ne perdant pas de vue les biais de cette étude, notamment le fait que les répondants soient principalement issus du monde financier, on ne peut que s'étonner de ce que:
- plus de la moitié des dirigeants n'ont pas une bonne compréhension des risques engendrés par la cyber criminalité
- plus de la moitié des dirigeants pensent qu'il s'agit d'un problème technique
- dans près de 60% des entreprises la "sécurité" ne rapporte pas au comité de direction (ou au conseil d'administration)
- près de 60% ne sont pas convaincus de la compétence de leurs prestataires spécialisés
- seules 8% des entreprises ont un plan pour répondre aux attaques et le testent; une petite moitié a aussi un plan mais ne le teste pas...
Bref, les malfrats qui ont envie de s'attaquer aux entreprises ont encore de beaux jours devant eux. Et il reste encore beaucoup de travail pour amener les dirigeants d'entreprises à intégrer la dimension "sécurité de l'information" dans leurs schémas de pensée et de gestion.