Logo CSOEC Ordre des Experts-Comptables
» Entreprise TIC

Accueil
  Comment démarrer ?
  Comment réussir ?
  Comment améliorer ?
>  Comprendre
- Les outils de gestion des petites structures
- Le site Web
- Le commerce électronique
- Les téléprocédures
- Internet, Extranet, Intranet
- Organisation des réseaux locaux et étendus
- L’externalisation des technologies informatiques
>> La sécurité et la signature électronique
  Auto diagnostique rapide

LES PRINCIPAUX RISQUES


::: Les principaux risques :::

L'activité industrielle et commerciale est par nature risquée. Certains risques, endogènes, sont dans la nature même du business : développer un nouveau produit, choisir une stratégie de prix, s'engager avec un partenaire. D'autres sont exogènes et ne sont que facteurs de perturbation pour le bon déroulement des affaires : panne d'un équipement, mauvaises conditions météo, incendie, inondation, acte terroriste, etc. L'effet de tels évènements est accentué par les nouvelles pratiques de gestion qui privilégient l'interdépendance et la minimisation des sécurités spatiales (stocks) et temporelles (délais) : production " just-in-time ", supply chain aux flux tendus, etc. Ces réductions ont été rendues possibles par la capacité à disposer d'information accessibles en permanence et actualisées en temps réel. La fiabilité du Système d'Information est donc devenue un élément clef. Ce système est composé d'éléments physiques matériels et humains ainsi que d'éléments logiques, donc de composants vulnérables aux dangers que nous évoquions plus haut.

A quoi cela sert ?

Notre introduction fait état de risques endogènes et de risques exogènes.

Une organisation peut traiter ses risques endogènes de manière exhaustive. Le choix est guidé par le coût de diminution du risque face aux effets potentiel du risque.

Son action est par contre limitée en ce qui concerne les risques exogènes. Elle ne peut influer sur les causes. Elle peut seulement en diminuer les effets :

· en essayant d 'y échapper ;
· en atténuant leur impact ;
· en remédiant à leurs conséquences.

On peut également effectuer un classement des risques en fonction de leur nature :

  • Les accidents :
    • Accidents physiques (incendies, explosion, dégât des eaux) ;
    • Pannes ;
    • Force majeure (tremblement de terre, tempête, inondation) ;
    • Pertes de services essentiels (électricité, télécommunications, eau).
  • Les erreurs :
    • Erreurs à la conception ;
    • Erreurs à la réalisation ;
    • Erreurs à l'utilisation.
  • La malveillance :
    • Vols et vandalisme ;
    • Fraude (Utilisation non autorisée des ressources du système d'information pour un travail personnel, pour détourner des fonds ou des informations) ;
    • Sabotage (Attentat, vandalisme, action malveillante conduisant à un sinistre matériel) ;
    • Attaques logiques (sabotage immatériel, infection informatique, programme "simple", bombe logique, cheval de Troie, sabotage "manuel", programme auto-reproducteur, ver, virus, etc.) ;
    • Divulgations (Utilisation non autorisée des ressources du système d'information entraînant la divulgation à des tiers d'informations confidentielles).

Le souci de maîtriser les risques implique une identification préventive, systématique et périodique de tous les problèmes pouvant avoir une répercussion sur le fonctionnement de l'entreprise :

  • Identifier le risque ;
  • Déterminer sa probabilité ;
  • Chiffrer ses conséquences sur le projet (coût, délai, performances) ;
  • Sélectionner les risques assurables ;
  • Adopter des provisions, des stocks et des marges de sécurité.

Face aux risques identifiés, la sécurité des systèmes d'information repose sur quatre éléments :

  • La disponibilité des systèmes ;
  • L'intégrité des données ;
  • La confidentialité des données et l'authentification des utilisateurs ;
  • La possibilité de contrôle et de preuve et la non répudiation des transactions et des échanges.

La disponibilité marque l'aptitude des systèmes à remplir une fonction -en particulier l'accès aux données de l'entreprise- dans des conditions prédéfinies d'horaires, de délais et de performances.

Affirmer que l'intégrité des données est assurée implique que soient respectées les valeurs que peut prendre une quelconque de ces données, qu'elle soit considérée en tant que telle (un montant inscrit dans un compte ne peut être négatif) ou qu'elle soit placée en relation avec d'autres (le montant des fonds propres ne peut excéder le total du passif). Dans une Base de Données, les contrôles d'intégrité référentielle permettront d'empêcher la saisie de commandes pour un client déclaré clôturé ou de clôturer un client pour lequel il reste encore des créances en cours.

Affirmer que la confidentialité des données est assurée implique qu'elles soient accessibles pour consultation, mise à jour ou suppression, uniquement aux personnes ayant reçu l'habilitation nécessaire. Authentifier un utilisateur implique de vérifier qu'il s'agit bien de lui et qu'il n'agit pas sous la contrainte.

Ne pas répudier une transaction implique de ne pouvoir nier avoir reçu ou transmis un message lorsque ceci a été effectivement le cas.

Sécurité des systèmes d'Information

Comment cela marche ?

Le système d'information d'une organisation regroupe des données stockées sur des supports, des processus qui ont pour objet de traiter ces données et des flux qui traduisent les divers échanges de données effectués par les acteurs impliqués dans le processus.

Nos quatre exigences de sécurité impliquent d'agir au niveau des données, des traitements et des flux.

  • Assurer la disponibilité des données implique de disposer de l'accès aux données chaque fois que le besoin existe, dans des conditions de confort et de performances définies dans un contrat de service.
  • Assurer la disponibilité des traitements implique de garantir la continuité du service, d'assurer les objectifs de performances, de date limite de traitement. Il faut disposer des ressources en matériels et logiciels nécessaires à l'ensemble des fonctions de base de l'entreprise (facturer les clients, recouvrir les créances, prendre et livrer les commandes, payer les salariés, les fournisseurs et les taxes, assurer la production, gérer les stocks ..)
  • Assurer l'intégrité des données implique de respecter des critères comme exhaustivité (ne pas perdre de données), exactitude (des données qui traduisent la réalité de l'organisation) et validité.
  • Assurer l'intégrité des traitements conduit à prendre des mesures pour éviter de modifier par erreur des informations. Elle conduit aussi à obtenir des résultats complets et fiables quel que soit le processus (le cumul du CA sur tous les produits doit être égal au cumul du CA sur tous les points de vente). Elle conduit aussi à assurer la conformité de l'algorithme des traitements automatisés par rapport aux règles de gestion.
  • Assurer la confidentialité des données consiste à réserver l'accès aux données par les seuls utilisateurs habilités, ce qui relie cette exigence à l'exigence d'authentification. Cette assurance se fait en fonction de la classification des données et du niveau d'habilitation des utilisateurs. En corollaire, il faut bien évidemment savoir interdire l'accès et l'usage des données par des tiers non autorisés, surtout ceux mal intentionnés.
  • Assurer la confidentialité des traitements consiste à protéger les algorithmes décrivant les règles de gestion et les résultats dont la divulgation à un tiers non autorisé. C'est la protection du savoir-faire de l'entreprise.
  • Permettre le contrôle et la preuve au niveau d'un traitement exige de garantir la possibilité d'en reconstituer toutes les étapes.
  • Permettre le contrôle et la preuve au niveau des données implique d'assurer la possibilité de reconstituer une donnée et de tracer son utilisation.

Un article particulier est consacré aux risques liés aux flux et à la protection des réseaux, " Protection du réseau ", face à la garantie du secret des données échangées par deux correspondants.

Combien cela coûte ?

Il n'y a pas de limites aux dépenses à engager en matière de sécurité.

Pour éviter le vol d'un ordinateur vous pouvez :

  • l'attacher à son support par une chaîne ;
  • fermer le local à clef ;
  • blinder tous les accès du local (porte, fenêtre) ;
  • placer un gardien devant la porte ;
  • mettre en place un dispositif de contrôle d'accès avec un portail électronique et des vigiles sur l'ensemble du périmètre ;
  • déménager et mettre le tout sur une île déserte.

La vraie question est "combien dépenser par rapport au risque encouru ?". La dernière solution engendre des coûts qui ne sont envisageables que si l'ordinateur est un modèle unique comportant des données ultra-secrètes. S'il s'agit d'un simple PC, la solution No 1 suffit probablement.

Les spécialistes utilisent le concept de "risque maximal tolérable", défini comme la proportion des fonds propres fixée comme limite à ne pas dépasser pour ne pas remettre en cause la pérennité de l'établissement face à un sinistre informatique majeur.

Les études des cabinets spécialisés montrent que les dépenses en matière de sécurité des systèmes d'information représentent environ 5 milliards d'euros dans l'Union Européenne, soit 5% des investissements informatiques. Le budget sécurité représentait en 2000 1 à 3% des budgets informatiques français. La tendance actuelle estime cette proportion entre 5 à 8 %, ce qui montre une réelle prise de conscience. C'est une des rares branches du marché informatique à conserver un taux de croissance à 2 chiffres.

Il est beaucoup plus difficile d'évaluer le coût de la non-sécurité car les victimes ne sont pas très enclins à fournir des détails. Elle se monte probablement, pour la seule France, à plusieurs dizaines de milliards d'euros. On peut ainsi mieux mesurer le retour sur investissement d'une politique efficace en matière de sécurité.

Comment font-ils ?

Maîtriser les risques implique la mise en place d'une politique de sécurité. Une politique de sécurité est une déclaration officielle des règles qui doivent régir le comportement des personnes auxquelles on accorde un accès aux ressources technologiques et aux actifs informationnels d'une entreprise.

Plusieurs niveaux d'intervention sont possibles :

  • Des actions au niveau physique, relatif à la protection des locaux et des accès, à la protection des réseaux (pare-feux, Réseaux Privés Virtuels) ou à la mise en place de solutions de sauvegarde et de reprise (les fameux "back up") ;
  • Des actions au niveau logique relatifs à la mise en place d'outils logiciels et de processus sur leur mise en œuvre (mots de passe, chiffrement, Key Perfomance Indicators, etc.) ;
  • L'amélioration du niveau de l'information et de la sensibilisation : La sécurité est l'affaire de tous. Il est inutile de dépenser des dizaines de milliers d'euros dans un système d'administration de la sécurité vérifiant la pertinence et le renouvellement des mots de passe si ceux-ci sont inscrits sur des petites étiquettes autocollantes placées bien en évidence sur l'écran ;
  • L'externalisation des risques : Elle consiste à définir précisément quels sont les risques que l'organisation accepte d'assumer elle-même et ceux qu'elle désire transférer sur d'autres agents économiques. La problématique de l'assurance entre dans le champ de cette externalisation, mais aussi le recours à des prestataires spécialisés s'engageant sur un contrat de services.

A l'image des grandes structures qui centralisent les problématiques de sécurité sur un groupe de travail animé par un RSSI (Responsable de la Sécurité des Systèmes d'Information), les petites structure doivent désigner un responsable qui va agir en tant que maître d'ouvrage.
Comme il ne peut couvrir tous les champs d'expertise, il pourra s'adresser à des prestataires extérieurs spécialisés.

Comment cela va évoluer ?

Il est important de comprendre que la sécurité est un processus évolutif.

La gamme des services offerts par les technologies de l'information s'enrichit sans cesse et chaque innovation porte en elle son cortège d'opportunités et de menaces.

Les menaces une fois identifiées, le marché offre rapidement des parades mais nous retouvons ici aussi une loi veille comme le monde, celle de la lance et du bouclier.

Aucun produit ne peut, à lui seul, protéger entièrement une entreprise. La solution garantissant le risque zéro n'existe pas. La véritable sécurité émerge d'une association de produits et de services, auxquels s'ajoutent une politique de sécurité complète et l'engagement de respecter cette politique dans l'entreprise, du plus haut au plus bas de l'échelle.

La sécurité des systèmes d'information, longtemps considérée comme une activité marginale à l'exception de quelques grands comptes héritiers d'une longue tradition de confidentialité, devient l'une des composantes critiques du projet d'entreprise. Les dirigeants d'entreprise doivent prendre conscience que celle-ci peut contribuer directement à la création de valeur.



Plate-forme Entreprise

cncc

cfcj

cnb

cnb

cnb



Accueil | Contactez-nous | Crédits | Haut de page