Forum des entreprises

[Pierre]

Symantec (Nasdaq : SYMC) a annoncé les résultats de son étude 2011 sur la préparation des PME en cas d'incident. Cette étude analyse le comportement et les pratiques des petites et moyennes entreprises (PME) et de leurs clients concernant leur préparation en cas d'incident majeur. Elle montre que, malgré les risques auxquels elles sont exposées, les PME ne font pas de la préparation à la reprise après incident une priorité tant qu'elles n'ont pas subi une catastrophe ou une perte de données. Elle révèle également que le coût de cette absence de préparation peut être élevé, voire aller jusqu'à la faillite de l'entreprise. Selon l'étude, les interruptions de service non seulement coûtent aux PME des milliers de dollars, mais elles leur font perdre des clients.

« Les recherches effectuées montrent que les PME n'ont toujours pas pris la mesure des répercussions considérables qu'un incident majeur peut avoir sur leur activité. Malgré les avertissements, bon nombre semblent croire que cela n'arrive qu'aux autres », explique Bernard Laroche, directeur du marketing produit chez Symantec. « Pourtant des incidents se produisent et les PME ne peuvent pas se permettre de perdre leurs données et, surtout, les données sensibles de leurs clients. Une simple planification leur permettrait de protéger leurs données en cas d'incident et de gagner ainsi la confiance de leurs clients. »

Les PME ne sont toujours pas préparées malgré les avertissements

Les résultats de l'étude montrent que de nombreuses PME ne comprennent pas l'importance de la préparation en cas d'incident. La moitié des entreprises consultées n'ont aucun plan en place. 41 % ont déclaré ne pas y avoir pensé et 40 % ont affirmé que la préparation à un incident majeur n'était pas une priorité.

Cette absence de préparation est surprenante lorsqu'on connaît les risques auxquels les PME sont exposées. Au cours des 12 derniers mois, les PME ont subi 6 pannes informatiques, les principales causes étant des cyberattaques, des pannes de courant ou des catastrophes naturelles.

L'étude révèle également que les données dont dépendent la plupart des PME ne sont tout simplement pas protégées. Moins de la moitié des PME sauvegardent leurs données une fois par semaine ou plus souvent, et seulement 23 % le font une fois par jour. Les sociétés consultées ont également déclaré qu'un incident majeur causerait la perte de leurs données. En fait, 44 % des PME déclarent qu'elles perdraient au moins 40 % de leurs données en cas d'incident.

Les PME ne réagissent que lorsqu'il est trop tard

Selon les résultats de l'étude, la moitié des PME qui ont mis en place un plan de reprise après incident ont réagi après avoir subi une panne et/ou une perte de données. 52 % ont élaboré un plan au cours des six derniers mois. Toutefois, seulement 28 % ont réellement testé leur plan de reprise après incident, alors qu'il s'agit d'un aspect essentiel de la préparation à un incident potentiel.

Répercussions de l'absence de préparation

Les incidents peuvent avoir des répercussions financières importantes sur les PME. Le coût moyen d'une interruption de service pour une PME est de 12 500 dollars par jour. Les pannes font perdre des clients : 54 % des clients de PME consultés ont déclaré avoir changé de fournisseur à cause de systèmes informatiques peu fiables, ce qui représente une augmentation de 12 % par rapport à l'étude de l'année dernière. Les interruptions de service peuvent même conduire à la faillite. De même, 44 % des clients de PME interrogés ont affirmé que leurs fournisseurs avaient dû cesser temporairement leur activité à la suite d'un incident.

Les clients des PME déclarent également que cela a des répercussions considérables sur leur propre activité. Toute interruption de service d'une PME coûte en moyenne 10 000 dollars par jour à ses clients. Outre les coûts financiers directs, 29 % des clients interrogés ont perdu "une partie" ou "une grande partie" de leurs données importantes à la suite d'incidents dans les PME qui les approvisionnent.

Recommandations

L'enquête a montré que 36 % des PME prévoient de mettre en place un plan de reprise après incident. Pour les aider dans cette démarche, Symantec fait les recommandations suivantes :

- N'attendez pas qu'il soit trop tard : il est crucial pour les PME de ne pas attendre qu'un incident se soit produit pour réfléchir à la protection de leurs données. Non seulement les interruptions de service sont coûteuses d'un point de vue financier, mais elles peuvent entraîner la faillite de l'entreprise. Les PME ne peuvent pas se permettre d'attendre qu'il soit trop tard. Elles doivent élaborer un plan de reprise après incident dès aujourd'hui. Elles pourront ainsi identifier les systèmes et les données stratégiques pour leur fonctionnement. Pour l'essentiel, il s'agit d'identifier les ressources critiques.

- Protégez complètement vos données : pour réduire le risque de perte de données stratégiques, les PME doivent implémenter les solutions de sécurité et de sauvegarde appropriées. Elles pourront ainsi archiver les fichiers importants, tels que les dossiers des clients et les données financières. Les catastrophes naturelles, les pannes de courant et les cyberattaques peuvent se traduire par des pertes de données et financières. Les PME doivent donc veiller à sauvegarder leurs fichiers importants non seulement sur un disque dur externe et/ou le réseau de la société, mais également hors site.

- Impliquez votre personnel : les employés des PME peuvent jouer un rôle décisif en évitant les interruptions de service ; ils doivent connaître les meilleures pratiques en matière de sécurité informatique et savoir que faire en cas de suppression accidentelle de données ou de difficulté d'accès à leurs fichiers. Sachant que les PME manquent de ressources, tous les employés doivent savoir comment récupérer les données de l'entreprise en cas d'incident.

- Effectuez fréquemment des tests : il ne faut pas attendre qu'un incident se soit produit pour découvrir que les fichiers sensibles n'ont pas été sauvegardés comme prévu. Il est extrêmement important de tester régulièrement la capacité de reprise après incident. Pour cette raison, testez votre plan dès qu'un changement survient dans votre environnement.

- Vérifiez votre plan : s'il s'avère impossible d'effectuer fréquemment des tests par manque de ressources et de bande passante, les PME doivent au moins vérifier leur plan de préparation à la reprise après incident chaque trimestre.

Étude de Symantec sur la préparation des PME en cas d'incident

L'étude de Symantec sur la préparation des PME en cas d'incident est le résultat de recherches effectuées en octobre et novembre 2010 par Applied Research. Cette société a consulté des professionnels de l'informatique responsables des ordinateurs, des réseaux et des ressources technologiques de PME. Il s'agissait d'évaluer les répercussions d'un incident ainsi que le niveau de préparation, la perception des risques et les pratiques en vigueur dans les PME. Cette étude a porté sur plus de 1840 sociétés de 23 pays d'Amérique du Nord, de la région EMEA (Europe, Moyen-Orient et Afrique), d'Asie-Pacifique et d'Amérique latine.