La sécurité de l'information, l'affaire des PME également
Claude Vigeant,président, Okiok -01/10/2007
Devant la relative indifférence des PME face à sécurité de l'information, les fournisseurs de solutions doivent adapter leur offre.
De plus en plus, il est reconnu que les besoins technologiques sont les mêmes dans la petite et la grande entreprise. Il en va de même de la protection des actifs informationnels. Peu importe la taille de l'organisation, on ne peut faire preuve de négligence à cet effet, ni sous-estimer le vol de renseignements et les actions hostiles de toutes sortes.
D'ailleurs, les lois sur la protection des renseignements personnels s'appliquent à toutes les organisations. Même si les autorités s'emploient davantage à les faire respecter dans la grande entreprise, la PME est tenue de se conformer aux diverses réglementations. Dès que l'on conserve des renseignements sur ses clients ou ses employés, on fait face à des enjeux de sécurité et l'on doit se montrer vigilant dans l'application de mesures à cet effet.
Dans certains cas, les conséquences d'un incident seront même plus grandes pour la PME. Comparons, par exemple, une grande entreprise du secteur manufacturier, qui ne conserve que peu de renseignements personnels, à une clinique médicale, dont les systèmes regorgent d'informations confidentielles sur les patients. Il y a fort à parier que l'impact d'un vol de données sera plus grand dans la clinique médicale. On ne peut minimiser non plus l'incidence de fortes amendes sur le chiffre d'affaires d'une PME. Sans parler du ternissement de sa réputation...
Difficultés particulières
Comment expliquer, alors, que de nombreux dirigeants de PME ne se sentent pas concernés? Question de marché, d'abord. Les canaux de commercialisation traditionnels utilisés par les fournisseurs de solutions de sécurité ne sont pas aussi efficaces pour rejoindre la petite entreprise.
Par ailleurs, la limite des ressources de celle-ci fait en sorte qu'elle consacre le gros de ses efforts à ses affaires essentielles. En raison de la complexité caractérisant aujourd'hui la sécurité de l'information, il est difficile de trouver chez une seule personne l'ensemble des compétences requises. Non seulement les technologies évoluent-elles rapidement, mais la réglementation s'alourdit, surtout si l'on fait des affaires au sud de la frontière. Dans ces circonstances, il devient d'autant plus difficile pour une PME de disposer du personnel adéquat.
La plupart du temps, les personnes ayant le profil recherché sont spécialistes des TI. Lorsque l'organisation peut compter sur de telles ressources, elle n'a pas pour autant les moyens de les conserver, même si, dans bien des cas, elle a dû les former elle-même. En effet, la demande de spécialistes de la sécurité est actuellement très grande dans tous les secteurs d'activités, et les entreprises se livrent une vive concurrence à cet égard.
Voilà l'une des raisons pour lesquelles des services de sécurité impartis (managed security services) ont fait leur apparition dans le marché. Par l'entremise d'un tiers, une entreprise peut ainsi appliquer les mesures de sécurité nécessaires et gérer les questions qui en découlent, même si elle n'a pas les ressources internes nécessaires.
Ces services diffèrent de l'impartition traditionnelle, puisqu'on ne confie pas à l'impartiteur les fonctions TI standards, ni l'ensemble de celles-ci. Il s'agit plutôt de surveillance (sur site ou à distance). Le client déploie une infrastructure de sécurité – composée de systèmes de détection d'intrusion, de garde-barrière, d'antivirus, etc. – qu'un fournisseur se charge de surveiller, en gérant les journaux d'activités, les incidents et tous les autres éléments liés à la protection de l'information.
Retour à la page 1
Page 2 - Sensibilisation : la part des fournisseurs Les commentaires de ce site sont propulsés par Disqus
 |
 |
 |
 |
| delicious | Digg it | Diigo | Google | Technorati | StumbleIt | Yahoo! |
