Discussion :

[Idelways]

La moitié des PME se croient à l'abri des cyberattaques
Alors qu'elles en sont les plus ciblées et vulnérables d'après Symantec



D'après le sondage annuel « sensibilisation aux menaces » de Symantec, la moitié des petites et moyennes entreprises (PME) se considèrent à l'abri des cyberattaques, bien qu'elles soient assez bien informées sur leurs dangerosités.

Comme conséquence, les PME « n'emploient pas les garanties adéquates pour protéger leurs informations » alors qu'elles « sont assez vulnérables aux cyberattaques, et c'est plus important que jamais pour eux de prendre les mesures afin de garder leurs informations à l'abri », affirme la société de sécurité américaine.

Ce sentiment de sécurité qui règne dans les PME est à l'antipode du rapport de Symantec.cloud en 2010, ayant révélé que 40 % des attaques ciblent les PME de moins de 500 employés, contre 28 % seulement pour les grandes entreprises.

La conscience globale des conséquences des menaces de sécurité est quant à elle plutôt encourageante, pour peu que les PME soient moins confiantes dans le futur.

« Les PME ont un bon niveau de familiarité avec les menaces, mais elles ne se voient pas comme des cibles », explique Anne O’Neill de SMB et .cloud à Symantec.

Le sondage, commandité auprès d'Applied Research, a porté sur 1900 PME dont plus de la moitié s'avèrent bien informés sur les plus communes des menaces de sécurité, comme les attaques par déni de service (DoS), les enregistreurs de frappe (keyloggers), les attaques ciblées, les risques inhérents aux liens raccourcis et l'utilisation des smartphones pour l'activité professionnelle.



Symantec recommande aux entreprises d'instruire leurs employés aux menaces en développant des directives de la sécurité sur Internet, d’évaluer l'état de leur sécurité et d'agir en développant un plan d'action proactif.



Les résultats complet du sondage sont disponibles en téléchargement cette page (PDF)

Source : Symantec

Et vous ?

Que pensez-vous des conclusions du rapport de Symantec ?
Avez-vous l'impression que les PME ne se considèrent pas comme concernés par les menaces ?

[pcdwarf]

Les PME ont un bon niveau de familiarité avec les menaces, mais elles ne se voient pas comme des cibles

Je suis d'accord avec l'analyse mais j'ajouterais qu'avoir conscience d'être une cible ne conduit pas forcément à changer de comportement.

1°) parce que les PME ont souvent l'impression qu'en cas de ciblage par un attaquant sérieux, toute contre-mesure est inutile.
2°) parce que par les contraintes qu'elle impose, la sécurité est souvent perçu comme un handicap en termes d'ergonomie et la réalisation des risques est bien souvent perçue comme moins grave que ce que l'ergonomie apporte.

Je commence à avoir l'habitude... à chaque fois qu'on me demande de construire un fort-knox numérique pour des données "sensibles" , il y a toujours une excuse "vitale" pour que je lui mette une chatière dans les 2 mois qui suivent.

[tetanos]

Avec 3 millions de PME et 1500 grandes entreprises en France ces statistiques prennent une autre dimension: comme il y a 200 fois plus de PME que de grandes entreprises et que le pourcentage des attaques est similaire (28% et 40%), j'ai donc 200 fois moins de risque d'être victime dans une petite entreprise...

[ArKam]

Avec 3 millions de PME et 1500 grandes entreprises en France ces statistiques prennent une autre dimension: comme il y a 200 fois plus de PME que de grandes entreprises et que le pourcentage des attaques est similaire (28% et 40%), j'ai donc 200 fois moins de risque d'être victime dans une petite entreprise...

Ouais... Statistiquement parlant OK, mais maintenant essaye de prédire si tu vas être ou pas attaqué??

Si tu y arrive, je t'appel Nostradamus ;-)

[Grimly_old]

Pour se faire attaquer, il faut avoir des données qui posent un certain intérêt, donc des données sensibles.

Mettre ces données accessibles pour l'extérieur est un act volontaire donc l'entreprise est entièrement responsable de ses propres fuites.

Dans une grande entreprise tel que Capgemini par exemple où je suis, c'est un système de réseau privé global à l'entreprise. C'est bien plus facile d'y mettre des ressources humaines dédiées sur le sujet que pour une petite entreprise d'une dizaine de personnes.

[tetanos]

Ouais... Statistiquement parlant OK, mais maintenant essaye de prédire si tu vas être ou pas attaqué??

Si tu y arrive, je t'appel Nostradamus ;-)

Je ne cherche pas à jouer à Nostradamus, mais je pense que ce genre statistiques peuvent s'interpréter de manière si différentes qu'elles ne veulent rien dire. L'interprétation des vendeurs d'antivirus est de les tourner de telle sorte a créer une panique pour augmenter les ventes.

Je te rappelles que prédire n'a rien à voir avec les probabilités: tu as 200 chances sur 65 millions de mourir par balles, si tu es paranoïaque tu ne sors plus pour ne pas être parmi les 200. Si tu es prudents, tu ne sors pas dans les quartiers chaud le soir...

[ArKam]

Pour se faire attaquer, il faut avoir des données qui posent un certain intérêt, donc des données sensibles.

Mettre ces données accessibles pour l'extérieur est un act volontaire donc l'entreprise est entièrement responsable de ses propres fuites.

Dans une grande entreprise tel que Capgemini par exemple où je suis, c'est un système de réseau privé global à l'entreprise. C'est bien plus facile d'y mettre des ressources humaines dédiées sur le sujet que pour une petite entreprise d'une dizaine de personnes.

Capgemini ... YOU FAIL.

Ce que tu dit la n'a aucun sens.

Une entreprise qui par exemple se fait attaquer et voler des données depuis un poste infécté ou un livreur de pizza t'en fait quoi?

Capgemini, comme toutes les autres boites (petites ou grandes) et une cible potentiel, le seul point positif avec celle-ci c'est que c'est une boite d'IT et que normalement elle doit pouvoir se protéger un minimum.

Mais ne dit pas de sottises, même MS/Sony/Autres se font piratés donc pour le coup, capgemini si des personnes mal intentionnés veulent vous visiter, ça se fera, que se soit sous forme numérique (Cyber Attaque) ou physique (SE et autres techniques).

En plus de ça, le fait d'etre dans un réseau local (LAN) ne te protège en rien.

Déjà, le fait que toi en tant que personnelle de Capgemini vienne le clamer haut et fort ça dénote un comportement à risque

[ArKam]

Je ne cherche pas à jouer à Nostradamus, mais je pense que ce genre statistiques peuvent s'interpréter de manière si différentes qu'elles ne veulent rien dire. L'interprétation des vendeurs d'antivirus est de les tourner de telle sorte a créer une panique pour augmenter les ventes.

Je te rappelles que prédire n'a rien à voir avec les probabilités: tu as 200 chances sur 65 millions de mourir par balles, si tu es paranoïaque tu ne sort plus pour ne pas être parmi les 200. Si tu es prudents, tu ne sort pas dans les quartiers chaud le soir...

D'accord, dit dans ce sens je suis OK avec ta remarque.

Concernant le mec qui se prend une balle, même en mode parano, suffit qu'une balle perdu passe par la et c'est mort.

En règle générale oui les statistiques sont plutôt fiable (surtout dans ton exemple) mais trop de variables entre en jeux pour leurs accorder une quelconque valeur.

Au mieux elle serviront a prendre une décision (bonne ou mauvaise).

Personellement, je pense qu'une bonne team, des bonnes pratiques, des bonnes formations etc ferons bien plus que toutes les statistiques ;-)

Oui ça coute cher à une boite, mais se faire voler des données coute parfois plus cher ;-)

La boite dans laquelle je suis, c'est fait pirater juste avant que j'arrive parce qu'ils avaient fait le choix de ne pas prendre certaines mesures:

Initialement les mesures coûtaient 20 000€

Une fois le piratage et la perte de certains contrats et autres dommages collatéraux: presque 500 000€

Donc voila, faut mettre les choses en perspective et voir plus loin parfois ;-)

[Kiiwi]

Avec 3 millions de PME et 1500 grandes entreprises en France ces statistiques prennent une autre dimension: comme il y a 200 fois plus de PME que de grandes entreprises et que le pourcentage des attaques est similaire (28% et 40%), j'ai donc 200 fois moins de risque d'être victime dans une petite entreprise...

... 3 millions ... 1500 ... ok ... mais ... si tu ramènes sur 100, tu as 28 grandes entreprises qui auront été victimes d'une cyberattaque, et 40 PME.


28% d'attaques pour les grandes entreprises, si en France il y en a 1500, ça fait 420 grandes entreprises attaqués. (420 sur 1500)

40% pour les PME, ça fait 1 200 000 PME/ 300 000 000
Si dans ces 3 million de PME on en prend 1500, 600 PME auront été victimes d'une cyberattaque.


420 pour les grandes entreprises ... 600 pour les PME ... tu ne peux pas dire que tu as 200 fois moins de chance de te faire attaquer.



(c'est la définition d'un %. Si pour 100 grandes entreprises, x ont été attaqués, pour 200 entreprises 2x auront été victimes d'une attaque, et pour 1500 entreprises 15x se seront fait attaquer.

A partir d'un %, tu peux en déduire un nombre "réel" (qui ne se limite plus à 100 entreprises) par rapport au nombre total d'entreprise.

Bien sur, les % se faisant sur un échantillon limité, tout est approximatif. 40% ça veut pas dire que tu trouveras toujours 40 entreprises attaqués toutes les 100 entreprises).

[taha1]

Je ne pense pas que dire qu'on travaille chez tel ou tel entreprise est un comportement à risque ... Le tout est de savoir la limite entre ce qu'on peut dire et ce qu'on ne doit pas dire et surtout faire attention au post it qu'on trouve un peu partout dans les bureaux et qui des fois contiennent des infos trés confidentielles ...

[ArKam]

Je ne pense pas que dire qu'on travaille chez tel ou tel entreprise est un comportement à risque ... Le tout est de savoir la limite entre ce qu'on peut dire et ce qu'on ne doit pas dire et surtout faire attention au post it qu'on trouve un peu partout dans les bureaux et qui des fois contiennent des infos trés confidentielles ...

En soit non, ça n'est pas important, quand c'est dit à des gens que tu cotoie, ou des gens que tu rencontre.

Sur internet si, ça devient un comportement à risque.

Pourquoi?

1°/- Ce que tu dit sur internet est "quasiment" permanent (une conversation réel s'oublie ;-)).
2°/- Une connexion internet est permanente, ce qui à pour conséquence de pouvoir faire du SE à long terme sur cet indice (une conversation réel dure un laps de temps plus ou moins long mais toujours bornée).

3°/- Internet est immense, connecté, rapide. Ce qui signifie que plus de gens sont susceptibles de lire ceci (et la oui j'utilise l'argument de la probabilité) et donc plus de gens "mauvais" sont capable de récupérer cette infos.

4°/- Si un mec programme un DOW qu'il fait tourner H24 7/7 et qu'il alimente de façon régulière en traînant sur les forums ou de façon automatique, son DOW peux rapidement faire des dégâts.

etc.

Je m’arrête à 4 mais il y en à beaucoup plus.

Sans vouloir jouer les paranos etc, je vous conseils de discuter un peu avec des types tels que ceux de: http://www.hackerzvoice.net et autres site de sécurités, DVP est une communauté de dev et décideurs principalement, c'est une communauté intelligente, mais pas spécialisé dans tout ce qui est sécurité (certains peut-être mais pas la grande majorité).