Les responsables de la sécurité informatique interne seraient-ils mieux disposés ? "Avant, ils disaient toujours non. Maintenant, il leur faut déployer la VoIP et la voix sur Wi-Fi quand même, puisque nous en avons besoin", poursuit Gérard Leymarie. Et les intégrateurs-installateurs ? "Leurs prises de main à distance sont rarement contrôlées", souligne Olivier Dunand (photo), directeur technique du cabinet d'audit et de conseil en sécurité informatique Lexsi. Il faut s'assurer qu'ils respectent les directives de sécurité édictées par leurs clients.
Les constructeurs d'IPBX ont-ils les bonnes solutions ? "Ils sont en retard sur les correctifs de sécurité, le multi-Lan, le chiffrement et le certificat intégrés au poste téléphonique", estime Gérard Leymarie. Mais les opérateurs n'inspirent pas davantage confiance. De plus en plus souvent, ils parviennent à s'imposer comme interlocuteur unique, à la fois intégrateur, installateur et fournisseur d'accès. Mais certains les soupçonnent de vendre sciemment des failles de sécurité pour se donner du travail. "Les opérateurs ont des attitudes absolument inacceptables !", gronde Gérard Leymarie.
Les PME n'ont pas le choix
Comme pour le système d'information, la sécurisation de la ToIP a besoin d'être traitée en amont, dès l'étude des besoins et des contraintes. "Dès le départ, il convient de procéder à une analyse de risques et de définir un niveau de sécurité cible. Cela permet de produire des directives de sécurité adaptées en termes d'architecture, de configuration et d'administration. Dans beaucoup de grands comptes, l'arrivée de la ToIP a ainsi déclenché la mise à jour de la politique de sécurité existante", rappelle Olivier Dunand. Les PME, hélas, devront le plus souvent continuer de parer elles-mêmes au plus pressé. Leurs difficultés sont de taille trop mineures pour intéresser les sociétés de conseil spécialisées.
"Les PME n'ont pas le choix. Elles doivent vivre dans un monde de douce illusion, quitte à se faire souvent arnaquer. Il n'y a pas de solutions de sécurité de la ToIP accessibles à une PME. Il vaut mieux qu'elles ne se posent pas les questions, qui n'auront pas de réponse adaptée à leur profil. Les PME sont déjà victimes d'intrusions et de malversations sur leur informatique et leur messagerie, des employés qui accèdent aux messages de la direction. Elles sont habituées à l'informatique qui plante. Elles ne seront pas surprises qu'en passant leur téléphonie classique à une téléphonie sur des PC en réseau informatique leur téléphonie subisse le même sort", conclut Hervé Schauer (photo).
Lire la première partie de l'article.
Lire aussi :
Passer à la téléphonie sur IP en cinq étapes
Téléphonie sur IP et GRC : double externalisation pour gains multiples
Réussir son projet de téléphonie sur internet