Laurent Heslaut, Symantec : "La PME doit avoir assuré son capital d'information au même titre que son capital matériel"

A l'heure du « cloud computing », comment la PME peut-elle tirer le meilleur bénéfice de la dématérialisation de l'information tout en assurant sa sécurité? Laurent Heslaut, Directeur des technologies de sécurité de Symantec pour l'Europe de l'Ouest, est également auteur d'un blog vivant et accessible dédié aux problématiques de la sécurité numérique. Il répond à nos questions.

Comment Ca Marche : Quels sont aujourd'hui les principaux risques de sécurité informatique en entreprise, et comment ont-ils évolué ?

Laurent Heslaut : Les risques sont les mêmes pour tout utilisateur, particulier ou multinationale, seul leur impact est différent ! Ils se résument à un seul risque global, celui de la perte d'information. Plus l'information a de valeur pour l'entreprise, plus elle est facile à détruire ou à obtenir, plus le risque est grand. Le dirigeant doit faire sa propre analyse à son échelle, en se posant une simple question : « et si ? ». « Et si je perdais telles données, et si je n'avais plus accès à Internet durant 48h, et si tel employé se faisait voler son ordinateur portable, et si mon concurrent avait accès à tel document ?... » C'est la problématique de son métier qui compte, et c'est quand il aura analysé son risque qu'il trouvera les bons outils. C'est aussi simple et logique que de prendre des assurances pour son matériel ou ses bâtiments, et ça devrait être réfléchi sur le même plan, voire avant.

CCM : Lorsqu'on n'est pas spécialiste informatique, on peut avoir mesuré ce risque sans pour autant identifier les bons outils de protection...

LH : Nous sommes dans la décennie de l'information, et les entreprises gagnantes seront celles qui sauront gérer leur patrimoine d'information. Nous plaidons pour que les dirigeants d'entreprise se forment non à l'informatique, mais à la cybercriminalité, pour en connaître la nature. Nous publions pour cela de nombreux contenus et études, accessibles gratuitement. Symantec a mis en place récemment Symantec Small Business Check-up, une solution d'analyse gratuite pour les petites entreprises, qui permet d'évaluer par un questionnaire en ligne son niveau de sécurité et les points d'amélioration, sans même entrer dans des questions techniques complexes. Concrètement, les deux grands volets de sécurité à mettre en place ensuite sont la sauvegarde, qui permet de retrouver l'information en cas de perte, et le « clean pipe », c'est à dire la « propreté » des données entrantes dans le réseau de l'entreprise, qui vient limiter le risque de perte.

CCM : Comment organiser au mieux sa sauvegarde et son « clean pipe » lorsqu'on est TPE, ou PME, et que l'on ne dispose pas d'une grosse infrastructure informatique ?

LH : Le « minimum vital » est évidemment la sauvegarde de l'information sur des supports matériels externes. C'est assez simple pour la plupart des entreprises, dont les données importantes ne sont pas des données multimédia lourdes. Mais que faire en cas de vol ou d'incendie, quand la sauvegarde se trouvait à proximité immédiate du poste de travail ? Quelle que soit l'échelle de l'entreprise, la problématique est la même :une sauvegarde sur supports distants est également nécessaire. Les TPE ou PME qui n'ont pas de ressources techniques propres ont accès à des solutions en « cloud computing », c'est à dire à des services de stockage à distance de type SaaS (Software as a Service), dont Symantec est aujourd'hui leader mondial. Nos data centers sont solides, dupliqués, et offrent de vraies garanties. La solution « Norton online backup », par exemple, permet aux particuliers d'assurer leurs données à un coût très accessible, et sera suffisante en volume pour la plupart des TPE et un grand nombre de PME. La partie « clean pipe » concerne la protection de la messagerie et des ressources web que l'on résume souvent sous les termes « antivirus » et « antispam ». Selon ses besoins, le décideur pourra opter pour nos produits grand public, ou pour des offres professionnelles en abonnement mensuel, adaptées à la taille de l'entreprise, comme « MessageLabs » qui démarre à deux postes.

CCM : De nombreuses solutions gratuites sont disponibles sur le marché, aussi bien en sauvegarde à distance qu'en antivirus et antispam... pourquoi devoir investir dans la sécurité ?

LH : Mettriez-vous une serrure gratuite sur votre porte ? Choisiriez-vous une assurance gratuite ? Ces offres gratuites sont généralement des outils marketing, des têtes de gondole qui vous proposent rapidement de payer pour obtenir en second niveau une prestation correcte. Symantec emploie 18 000 personnes dans le monde, dont 500 à 600 en la recherche et développement, pour identifier et contrer les menaces qui naissent tous les jours et s'amplifient en permanence... En 2006 nous avons développé 160 000 « signatures », qui sont des « vaccins informatiques » uniques contre les virus. En 2009, nous avons dû en développer 3 millions. Ce nombre est déjà dépassé pour 2010. Qui peut investir autant et garantir le même niveau de sécurité sans le faire payer ? Qui peut vous faire cadeau d'un espace de stockage et réellement garantir la pérennité des données ? Contre qui se retourner si vos données disparaissent, si un maliciel infecte votre système ? Il est légitime de se demander quel est l'intérêt du prestataire... En moyenne nous avons estimé que pour une PME, le coût global d'une attaque malveillante est de 240 000 € . C'est au dirigeant d'entreprise d'estimer ce risque, et de choisir de s'assurer de façon sûre.

En savoir plus sur Symantec Small business Check-up et l'auto-défense des petites entreprises

Découvrez le blog de Laurent Heslaut