Même dans le cadre d´une PME, il n´est pas conseillé de sécuriser aveuglément en empilant les solutions de sécurité, à la seule initiative du responsable informatique. Un plan d´action est nécessaire afin de faire l´inventaire des risques et mieux allouer les ressources. Les grands comptes l´ont compris, ils commandent des audits. Pour la PME, incapable de financer un audit complet, la prestation sera adaptée à ses besoins (du concret !) et à son budget. "Dans une PME de moins de 500 personnes, sans budget spécifique alloué à la sécurité, nous préconisons plutôt une qualification des risques par des tests d´intrusions. Cela n´est pas exhaustif, contrairement à un audit, mais offre une vision réaliste et concrète de la sécurité de l´entreprise en une semaine seulement", explique Christophe Escudier (photo), consultant sécurité et responsable des tests d´intrusion chez Intrinsec.
Le périmètre de ces tests comprend le plus souvent l´accès Internet et les télécommunications : la PME telle qu´elle est visible depuis l´extérieur. "Nous trouvons des failles majeures chez 80% de nos clients, et dans 20% des cas nous arrivons à prendre le contrôle du réseau depuis Internet", poursuit Christophe Escudier. Un tel audit dure généralement une semaine maximum (à moins de trois jours, il s´agit plus probablement d´un simple test de vulnérabilité) et coûte entre 3000 et 5000 euros. Il place l´entreprise face à un véritable assaut de "bons" pirates, venus exploiter toutes les failles qu´ils peuvent découvrir.
Avec de telles informations en main, la PME peut mieux cibler son investissement sécurité, plutôt que de tenter de tout protéger.
Et, surtout, la démarche de l´audit ne pouvant venir que de la direction générale, cela confère plus de poids au projet sécurité par la suite.