La recherche d'économies allonge le cycle de vie des postes de travail : quatre à cinq ans, contre deux à trois ans auparavant. Et durant cette période, leur configuration n'évolue pas. Seuls les serveurs bénéficient de correctifs de sécurité, les postes de travail demeurant avec des patchs vieux de plusieurs années... « Lors de nos audits, nous rencontrons souvent des postes de travail démunis du correctif RPC contre le ver Blaster », observe Thomas Lebouc, directeur de mission chez Thales Security Systems. Ce correctif a certainement été appliqué aux serveurs, mais pas aux postes de travail, à travers lesquels passent pourtant la plupart des infections majeures.

« 99 % des PME ont déployé des antivirus, et pourtant plus de 90 % d'entre elles sont toujours victimes des épidémies actuelles, qui frappent les postes de travail », constate Hubert Tournier, consultant en sécurité chez Deloitte.

Grâce à son coupe-feu, l'entreprise pense être à l'abri des vers, tel Blaster, qui se propagent sur le réseau. Or, le coupe-feu ne protège pas des portables, infectés à la maison et ramenés sur un réseau d'entreprise souffrant de l'absence de correctifs sur des postes de travail.

« Nombre d'entreprises oublient que la sécurité est un problème d'organisation et de suivi, d'où les dérives dans la mise à jour des bases de signatures des antivirus sur les postes de travail ou du niveau de patch », rappelle Hubert Tournier.