La lutte antivirale, ainsi que la chasse aux logiciels personnels et aux copies illicites résumaient l'activité de la sécurité informatique avant l'arrivée d'internet. Puis il y a eu la messagerie, la navigation sur le web, et la mise en ligne du site de l'entreprise. L'installation de dispositifs anti-intrusions, d'authentification des utilisateurs et de filtrage de contenus s'est alors imposée. L'exercice du métier de responsable sécurité des systèmes d'informations a nécessité des compétences réseaux, humaines et juridiques.

" L'arrivée d'internet s'est d'abord traduite par l'utilisation du courrier électronique. Nous avons sensibilisé les utilisateurs sur le risque de fuites d'informations " , explique Emmanuel Winckler, responsable sécurité chez Saft. La navigation sur des sites web est arrivée ensuite, engendrant des problèmes assimilables à ceux créés par le Minitel. Le temps perdu par les salariés à surfer sur des sites sans rapport avec les activités de l'entreprise est devenu la hantise des directions. Ces dernières n'ont pas tardé à installer des outils afin de connaître l'utilisation faite d'internet.

Tout en respectant la législation... " Internet est un vivier d'informations gratuites, mais il est extrêmement cher de s'y connecter. L'entreprise veut savoir à combien lui revient chaque employé et elle peut exercer un "flicage" qui porte moins sur l'usage que sur les coûts. Les outils pour ce type de missions sont légions " , déclare un responsable informatique. Un de ses collègues dresse un constat plutôt rassurant : " Lorsque le Net est arrivé, les gens ont commencé par visiter des sites bizarres et folkloriques. C'est drôle au début, mais rapidement cela n'amuse plus personne. "

Le principal problème lié à la messagerie et au web concerne le stockage sur le poste de travail, voire sur les serveurs de l'entreprise, de données inopportunes. Cette accumulation peut saturer la capacité de stockage des machines. Quand aucun filtrage n'est effectué, l'administrateur réseau doit purger les serveurs des contenus indésirables (fichiers MP3 ou MPeg), parfois en concertation avec le responsable sécurité. D'autres préfèrent agir en amont et bloquent systématiquement ces fichiers à l'entrée du réseau.

Mais ceci ne peut se faire qu'en accord avec la direction générale, se plaint un directeur informatique à qui l'on a " refusé tout filtrage de données sous prétexte que les salariés doivent pouvoir décompresser de temps à autre ". Les responsables sécurité regrettent tous de ne pas pouvoir assurer une veille économique. Ce que font les concurrents n'est pas de leur ressort. " Peut-être à tort , estime Emmanuel Winckler de la société Saft. I l y a beaucoup de connaissances communes entre ceux qui font de l'intelligence économique et les responsables sécurité. Des cellules de réflexion sur les informations que l'on peut montrer et celles à cacher seraient utiles. "

" Nous ne sommes plus dans une citadelle , constate Emmanuel Winckler. Avant, nous avions le mainframe. Maintenant, il y a des PC avec des utilisateurs qui installent n'importe quoi sur leur poste, et de la communication dans tous les sens. " Il faut filtrer les contenus, contrôler les entrées, authentifier les utilisateurs se connectant à distance. Cela accroît la complexité des systèmes d'information. " Le piratage en tant que tel n'est pas quantifiable immédiatement. Il y a bien l'exemple d'Alcatel au Koweït, mais à notre échelle il n'est pas possible de savoir si l'on a perdu un marché à cause d'une fuite d'information " , rapporte un responsable. Ce type de protection a un prix et la difficulté de quantifier la parade face aux risques joue contre les responsables sécurité lorsqu'il s'agit de convaincre les directions.

Ce qui coûte vraiment, ce sont les attaques virales. " C'est le plus grand risque, affirme Vincent Richel, directeur informatique des Serres Richel. Surtout lorsque l'on travaille avec l'étranger. Il y a des zones plus à risque que d'autres, comme l'Amérique du Sud par exemple. La parade est simple : je mets à jour mes antivirus très régulièrement. " Les vagues successives de virus s'attaquant aux messageries obligent parfois les entreprises à couper leur accès à internet pour purger leurs systèmes.

La sécurité des systèmes informatiques prenant de plus en plus d'importance, charger une personne de ce problème n'est plus une idée saugrenue. " Nommer un responsable sécurité dépend plus de la culture de l'entreprise que de sa taille, analyse Emmanuel Winckler. L'ouverture du poste se fait par besoin mais aussi par conviction ; c'est un métier fonctionnel qui ne rapporte pas d'argent. Au responsable sécurité de montrer ce qu'il apporte à l'entreprise en terme d'économies. C'est une question de crédibilité. " Celle-ci s'acquiert, entre autres, en multipliant les réunions d'information afin de nouer un dialogue avec les utilisateurs. Celles qui traitent d'internet et de l'attitude à adopter face aux e-mails pouvant être infectés rencontrent un vif succès.

Internet a accentué les politiques de sécurité des entreprises. L'essentiel du travail consiste à définir des chartes de sécurité mêlant le juridique et le technique. Une mission vitale, à en croire les récentes études publiées par les cabinets de sondage, qui n'est encore accompagnée d'aucune véritable formation spécifique.