CCI de Touraine : « les entreprises en région sont très en retard en matière de sécurité »

Près d’un an après la création de l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI), nous avons voulu en savoir plus sur la prise de conscience des risques informatiques par les petites et moyennes entreprises, en région. Pour cela, nous avons interrogé Yves Massot, vice-président de la CCI de Touraine, et Annick Proust, responsable Intelligence Economique de cette même Chambre du Commerce et de l’Industrie. Et le constat est loin d’être rassurant.

LeMagIT : Quel rôle joue la Chambre du Commerce et de l’Industrie (CCI) de Touraine dans la protection des systèmes d’information des entreprises de son territoire, notamment dans le cadre de l’approche défensive de l’intelligence économique ?

Annick Proust : Les CCI, en règle générale, laissent, pour l’essentiel, ces questions à la Gendarmerie Nationale. Nous sommes en relation très étroite avec eux et leurs N-Tech (équipes spécialisées sécurité SI, NDLR). Dans ce cadre-là, il nous arrive d’organiser des réunions qui sont animées par eux dans les entreprises ou dans nos locaux, ne serait-ce que pour faire de la sensibilisation en interne à la CCI, pour que, ensuite, nos personnels puissent relayer l’information auprès des entreprises.

Yves Massot : La Gendarmerie se sert aussi de nous pour identifier les entreprises dites sensibles.

LeMagIT : Compte-tenu de cette position et de votre proximité avec elles, est-ce que les entreprises se tournent vers vous et échangent avec vous sur les éventuels incidents de sécurité qu’elles pourraient rencontrer ?

A.P. : C’est difficile pour une entreprise de dire : « on m’a volé quelque chose de capital. » Mais la relation de confiance que l’on a avec les entreprises fait que, en cas d’incident, il leur arrive tout de même de se tourner vers nous. On voit alors ce qu’il est possible de faire. Mais, jusqu’à maintenant, nous n’avons pas organisé de « grand messe » sur cette question car les dirigeants d’entreprises sont dans la logique suivante : « tant que cela ne me concerne pas directement, ça ne m’intéresse pas. »

Y.M. : Faites une réunion et demandez à chacun s’il a des difficultés dans son entreprise… Par nature, un chef d’entreprise a un égo assez développé. Vous ne lui ferez jamais avouer qu’il a des difficultés, qu’on lui a volé des éléments fondamentaux de son activité. C’est la peste de l’entreprise, on n'en parle pas [Yves Massot est lui-même chef d’entreprise, NDLR]. Mais c’est malheureux, parce que, si l’on en parlait, on pourrait identifier les menaces et les solutions de protection.

LeMagIT : Quel niveau de préparation rencontrez-vous, sur le terrain ?

Y.M. : Nous avons vraiment une population très hétérogène. Cela va de l’entreprise qui fait de l’intelligence économique pointue à celle qui n’en fait pas du tout. Quand l’entreprise ne fait rien, c’est là que nous avons beaucoup à faire. Celles qui sont outillées le sont à la fois sur l’offensif et sur le défensif.

LeMagIT : Hors implantations locales de grandes entreprises, les entreprises de votre région sont-elles bien préparées en matière de sécurité informatique ?

Y.M. : Sans m’appuyer sur une quelconque enquête chiffrée, je serais tenté de dire qu’elles sont plutôt en retard sur le sujet, voire très en retard.

A.P. : Si elles se posent des questions, c’est une fois que l’incident est survenu. Sur le territoire, nous avons même vu des spécialistes de ces questions, qui vont faire de la sensibilisation auprès des entreprises ou des étudiants, mais ne s’appliquent pas, à eux-mêmes, ce qu’ils prônent. Parce que ce n’est pas une priorité dans l’entreprise. La priorité, c’est de faire le chiffre d’affaires. Pour la sécurité, quel est le retour sur investissement ?

LeMagIT : Y’a-t-il au moins un effort de veille sur l’évolution des menaces et des offres ?

A.P. : Non, je ne pense pas. Il ne peut pas y avoir de veille puisqu’il y a méconnaissance du risque.

Y.M. : Clairement, on va du tout au rien.

LeMagIT : Où placeriez-vous la frontière entre le « tout » et le « rien » ?

Y.M. : Au niveau de la connaissance de l’informatique par le chef d’entreprise. Les patrons de ma génération sont parfois assez terribles. Certains se disent clairement : « je ne vais pas laisser mes employés accéder à Internet parce que pendant ce temps-là, ils ne bossent pas » ou « je ne vais pas leur donner de poste informatique parce qu’ils vont travailler pour eux et pas pour moi. » Il y a là un vrai problème de confiance. Cette approche n’est plus tenable. C’est vraiment lié à la culture managériale de l’entreprise. Le développement de phénomènes comme la dématérialisation va permettre d’ouvrir les esprits et de faire avancer les choses.

A.P. : C’est une contrainte, une obligation qui va amener l’entreprise à aborder ces questions. A cela s’ajoute un phénomène générationnel : les jeunes générations sont nées avec la technologie et sont sensibles à ces sujets-là.  

En complément :

- Pour le Clusif, la sécurité des systèmes d’information des entreprises a cessé de progresser

- Cybercriminalité : constat partagé d’incapacité et d’impréparation

- Naissance officielle de l’Agence Nationale de Sécurité des Systèmes d’Information

- Assises de la sécurité : la coopération public-privé en clé de voute de la cyberdéfense

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close