Sécurité en PME PMI

Sécurité des systèmes d’information en PME PMI, petits organismes

Les PME PMI (ou petits organismes publics) sont aussi dépendantes de leur système d’information que les grandes entreprises ou organismes. Leur ouverture aux réseaux externes en 2010 est importante (environ 80% des PME/PMI françaises utilisent Internet pour leurs échanges).

Pire, un incident de sécurité majeur peut conduire une PME PMI à déposer son bilan alors qu’il ne sera que « très douloureux » pour une grande entreprise.

Un ratio souvent cité dans la profession, mais dont nous n’avons pas pu vérifier la véracité, est que 70% des PME & PMI, touchées par un incident de sécurité majeur de leur système d’information, déposent leur bilan dans les 3 ans, soit le même ratio que pour le cas d’un incendie important.

La difficulté dans les PME PMI réside dans les ressources qu’elles sont capables d’allouer à la sécurité de l’information. Plusieurs pistes sont envisageables pour optimiser la compétence et les budgets pour atteindre un niveau de sécurité suffisant.

Quelques solutions pour les PME PMI

Parmi ces solutions, il faut envisager :

• L’externalisation de certaines fonctions, par exemple la fonction de RSSI, Responsable de la Sécurité des Systèmes d’Information
• L’utilisation de méthodes d’analyse de risques prêt à l’emploi afin d’optimiser les budgets.
• L’externalisation de certaines activités : l’analyse anti-intrusion, la gestion complète des pare-feux, la sécurisation de l’ensemble du trafic de la messagerie électronique, ….

Dans les cabinets de conseil en sécurité, on entend souvent que les dirigeants de PME/PMI françaises attendent un accident pour engager des moyens. Plutôt que de les accuser, il serait bienvenu de leur offrir une démarche adaptée à leur taille, avec des budgets précis et un engagement sur des résultats tangibles.

Certaines CCI ou DRIRE ont démarré ces démarches (Pays de la Loire, Alsace, Rhône), et des méthodes d’analyses de risque orientées PME/PMI apparaissent (majoritairement en anglais) ou certaines sont adaptées en terme de démarche aux contraintes des PME/PMI.

Faut-il externaliser la fonction de RSSI en PME PMI ?

En 2012, plus de 50% de PME PMI (moins de 250 personnes), mais également des sociétés importantes ne disposent pas d’un poste de RSSI, pour des raisons budgétaires évidentes, mais également par difficulté à le positionner entre « risk manager » et technicien.

L’externalisation de la fonction de RSSI est à envisager, notamment lorsque l’entreprise est en période de démarrage d’un projet sur la sécurité de l’information.

Cette externalisation est intéressante alors sur plusieurs aspects :

• Elle optimise les coûts en dissociant les phases de démarrage d’un projet de sécurité (et la compétence, qualités nécessaires liées) avec celles de développement de la culture sécurité :
  . Lissage de la charge de travail, le travail d’un RSSI n’étant pas un temps plein, sauf pendant certaines périodes (sessions de sensibilisation au personnel par exemple)
  . Possibilité de décaler certains travaux en fonction de contraintes internes
• Elle permet de mieux définir la mission du futur RSSI vis à vis de l’organisation et la culture de l’entreprise, notamment dans le cas de sociétés ayant plusieurs établissements ou filiales :
  . RSSI dépendant de le Direction Générale avec un correspondant plus technique à la DSI,
  . RSSI rattaché à la DSI.

A contrario, cette solution d’externalisation semble moins pertinente dès que la société a atteint une maturité sur ce domaine et le recrutement (interne ou externe) est alors certainement nécessaire.

Les objections à l’externalisation du RSSI

Il peut exister des réticences à confier une telle mission à une personne externe à la société, notamment :

• Cet intervenant aura connaissance des faiblesses de l’entreprise et donc il existe un risque de fuite d’informations sensibles. A contrario la crédibilité et la compétence de cet intervenant sur le marché de la sécurité est en jeu, et quand il évoque une faille, cela peut être pour un de ses autres clients (ce qui n’est pas le cas d’un RSSI maison).
• Le fait que ce RSSI ne soit pas présent tous les jours sur site : en phase de démarrage de projet le besoin est faible (support méthodologique, …), en phase de maturité cela peut s’avérer être un vrai problème (réaction à une situation de crise) et cela milite pour que cette mission devienne à terme une mission interne.
• Cela ne favorise pas la montée en compétence d’un RSSI interne : les compétences nécessaires sont fort différentes entre période de démarrage de projet et le rythme de croisière, il faut trouver le bon moment où le Client décide soit de faire monter en compétence quelqu’un interne soit d’une embauche.