Sécurité IT : une affaire de spécialistes ?
Kaspersky constate que les TPE/PME s’exposent à davantage de risques en confiant la gestion de leur sécurité informatique à du personnel non spécialiste.
Quand bien même elles accordent une attention particulière à la sécurité informatique, les TPE ont tendance à en confier la gestion à des non-spécialistes, s’exposant d’autant plus aux menaces.
C’est l’un des principaux constats établis par Kaspersky dans la dernière édition de son rapport « Business Attitudes Toward Cybersecurity » (document PDF, 13 pages), qui couvre, dans 21 pays, 6219 entreprise de 1 à plus de 1500 employés.
Globalement, plus les effectifs sont larges, plus la priorité accordée à la sécurité IT est grande – le phénomène se vérifie notamment dans secteur pharmaceutique, l’industrie manufacturière et les services financiers.
Mais si elles sont 42 % à déclarer que leur personnel est « impliqué » dans les démarches (définition d’objectifs, application des politiques…), les entreprises de toutes tailles exploitent rarement le plein potentiel des solutions de protection dont elles disposent.
Il faut dire que les craintes ne sont pas les mêmes. Alors que les grands comptes pointent du doigt la protection des systèmes critiques, les plus petites structures s’intéressent avant tout à la protection anti-malware.
Ni les unes, ni les autres ne semblent toutefois avoir pleinement pris la mesure du BYOD (« Bring Your Own Device »), qui consiste, pour les salariés, à utiliser, dans le cadre de leur travail, des appareils personnels.
Cette pratique continue de se développer dans les sociétés de plus de 50 collaborateurs : 70 % disent s’être ouvertes aux smartphones (elles étaient 61 % en 2012) ; 57 % ont fait de même avec les tablettes (contre 41 % il y a 3 ans). Ces taux sont respectivement de 62 % et 36 % dans les TPE (moins de 50 salariés).
D’après Kaspersky, le BYOD est devenu si commun que peu d’entreprises se soucient des enjeux sécuritaires associés. 68 % de celles qui ont adopté la pratique assurent d’ailleurs n’avoir perçu aucune menace. D’où un taux d’équipement en solutions MDM (gestion des terminaux mobiles) relativement bas : 14 % dans les TPE, 27 % pour les PME et 31 % chez les grands comptes.
Youpi, c’est gratuit
Les divergences sont moins marquées sur la protection des données. Les entreprises s’accordent sur la nécessité de protéger en premier lieu les informations personnelles de leurs clients. On notera néanmoins ce focus sur les éléments d’identité (numéro de Sécurité sociale, entre autres) aux États-Unis et sur la propriété intellectuelle en Chine. Et dans une moindre mesure, à l’échelle mondiale, sur les informations bancaires et financières.
Autant de données qui résident souvent sur des terminaux inefficacement protégés. Les plus petites entreprises ont tendance à déléguer cette responsabilité à leur personnel pour se concentrer sur leur réseau interne.
Dans un contexte de restrictions budgétaires, les solutions gratuites ont le vent en poupe : leur taux d’utilisation atteint 23 % au Japon. Il augmente aussi dans le reste de l’Asie-Pacifique, où la proportion de solutions professionnelles diminue « mécaniquement » (de 83 % à 62 % en un an). La dynamique n’est pas la même en Amérique du Nord, où les outils payants de catégorie entreprise représentent désormais 73 % du parc installé (+ 5 points).
Généralement sollicités dans les plus grandes entreprises, les spécialistes IT préfèrent utiliser ce type d’offres (à 71 %) plutôt que du familial (14 %) ou du gratuit (14 % également). Ils sont surtout de plus en plus nombreux à se pencher sur des suites logicielles « packagées » qui simplifient la protection d’environnements hétérogènes.
Dans l’état actuel, l’infrastructure de sécurité reste elle-même très hétérogène. 68 % des entreprises interrogées exploitent des serveurs physiques ; 52 %, des serveurs virtuels (seulement 25 % des TPE) ; 26 %, des systèmes de bureaux virtuels (VDI ; le taux monte à 39 % dans les grands comptes).
Les serveurs physiques se trouvent souvent sur site (dans 70 % des cas). Sur le virtuel, c’est plus équilibré (40 % on-premise ; 30 % dans le data center) et la gestion est plus souvent externalisée (intégralement dans 21 % des cas).
Crédit photo : jijomathaidesigners – Shutterstock.com