 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Les systèmes d’alerte pour PME se multiplient
par mail
l'article
Dans sa lettre trimestrielle janvier-mars 2007, l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) annonce étudier la faisabilité d’un système d’alerte et de partage d’informations. Et ce, pour aider les citoyens et les petites et moyennes entreprises à résister aux menaces informatiques. L’Agence européenne serait d’avis de leur prodiguer des conseils sur les meilleures pratiques (pour le choix de mots de passe, pour la banque sur Internet, etc.), mais aussi des alertes sur les logiciels malveillants circulants, ou encore des informations sur les contre-mesures existantes. Marco Thorbruegge et Slawomir Gorniak, de l’Enisa, penchent pour une propagation de ces informations via un portail sur le Web, mais n’excluent pas les flux RSS, les SMS, ou encore les mailing-lists. L’Enisa rendra ses conclusions le 4 et 5 juin prochains lors d’une conférence européenne sur la sécurité.
Un consensus positif
En attendant, rien ne filtre : “ Cette étude nous a été demandée par l’Union européenne, qui est la seule à qui nous devons donner des informations ”, avertit Alain Esterle, chef du département technique de l’Enisa. Quel que soit le résultat, tout le monde semble ravi de l’initiative. “ Si le service est gratuit et de qualité, ce serait quelque chose d’exceptionnel. Mais un désastre pour nous ”, plaisante Matthieu Hentzien, responsable commercial de la société de conseil en sécurité informatique Hervé Schauer Consultants (HSC).
Chez Panda software, on estime que tous les efforts pour améliorer la sécurité des PME sont les bienvenus. “ Dans bien des cas, elles ne sont pas suffisamment formées à la sécurité, estime le DG France de l'éditeur, Emmanuel Tonnelier. Et même pire, elles ne savent souvent pas où trouver les informations dont elles ont besoin. ” Par contre, le consultant de HSC ne croit pas possible de créer un système centralisé au niveau européen pour récupérer toutes les alertes et conseils en provenance de tous les acteurs concernés. Le risque : créer une véritable usine à gaz.
Des initiatives locales
L’Europe n’est pas seule sur le pont en ce qui concerne la cybercriminalité. Au niveau local, les initiatives se multiplient. Ainsi, lors de la troisième Conférence internationale sur la sécurité électronique (ICGeS), des membres de l’Université de l’est de Londres ont présenté un portail baptisé “ Victimes of Internet Crime Europe ” ou “ Voice ”, où les victimes pourront alerter l’opinion ou prodiguer des conseils. Autre projet, cette fois-ci au niveau français : un organisme gouvernemental, le Comité interministériel pour la société de l’information (Cisi), serait en train de plancher sur un portail de ce type. Enfin, on pourra également compter avec le Club de La Sécurité de l'Information Français (Clusif), qui prévoit de consacrer une partie de son site à ce sujet, et de proposer aux entreprises en recherche d'information des points d'entrée adéquats.
agrandir la photoLa sécurité est une affaire publique
“ La diffusion d’alertes ou les remontées d’informations doivent être gérées par les autorités publiques, affirme Pascal Lointier, président du Clusif :
on est ainsi sûr que l’information diffusée est bien qualifiée, et qu’elle ne sert pas les intérêts marketing d’un éditeur. ” Ces derniers ont en effet tendance à exagérer la menace réelle posée par des virus ou des attaques. Il faut se souvenir de l’attaque contre les serveurs de noms de domaine il y a deux mois.
“ L’information avait été trop médiatisée par rapport au risque réel : l’attaque était plus faible qu’une précédente en 2002 et entre temps, les serveurs avaient été durcis ”, rappelle Pascal Lointier. Si disposer d’un portail d’alerte et de partage d’information ne dérange personne, il ne faudrait pas pour autant internationaliser le processus ; au risque, selon certains spécialistes de transformer ces portails en faille. “ Qui sait quelles agences gouvernementales ou mafias pourraient profiter de ces informations pour savoir si une attaque a réussi, ou si une entreprise est en état de faiblesse ”, analysent certains spécialistes.
Les mailing-lists : à éviter
“ Quant on fait de la veille, il faut avoir le temps de la lire ”, résume Matthieu Hentzien, responsable commercial chez la société de conseil en sécurité informatique Hervé Schauer Consultants. Et d'ajouter : “ Les listes publiques n’ont aucun intérêt s’il n’est pas possible de filtrer leur contenu. Si des sociétés comme nous ou des éditeurs commercialisent des services de veille [chez H&S, ce service est commercialisé 1590 euros HT pour l’année, Ndlr], c’est que nous ne donnons que l’essentiel aux clients, et dans leur langue. Mais, ce service ne peut être que positif et nous devons l’encourager. Même si, depuis dix ans, les PME sont un peu moins novices en matière de sécurité. ”
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM