L'activité industrielle et commerciale est par nature risquée. Certains risques, endogènes, sont dans la nature même du business : développer un nouveau produit, choisir une stratégie de prix, s'engager avec un partenaire. D'autres sont exogènes et ne sont que facteurs de perturbation pour le bon déroulement des affaires : panne d'un équipement, mauvaises conditions météo, incendie, inondation, acte terroriste, etc. L'effet de tels évènements est accentué par les nouvelles pratiques de gestion qui privilégient l'interdépendance et la minimisation des sécurités spatiales (stocks) et temporelles (délais) : production " just-in-time ", supply chain aux flux tendus, etc. Ces réductions ont été rendues possibles par la capacité à disposer d'information accessibles en permanence et actualisées en temps réel. La fiabilité du Système d'Information est donc devenue un élément clef. Ce système est composé d'éléments physiques matériels et humains ainsi que d'éléments logiques, donc de composants vulnérables aux dangers que nous évoquions plus haut.
Une organisation peut traiter ses risques endogènes de manière exhaustive. Le choix est guidé par le coût de diminution du risque face aux effets potentiel du risque.
Son action est par contre limitée en ce qui concerne les risques exogènes. Elle ne peut influer sur les causes. Elle peut seulement en diminuer les effets :
· en essayant d 'y échapper ;
· en atténuant leur impact ;
· en remédiant à leurs conséquences.
Le souci de maîtriser les risques implique une identification préventive, systématique et périodique de tous les problèmes pouvant avoir une répercussion sur le fonctionnement de l'entreprise :
La disponibilité marque l'aptitude des systèmes à remplir une fonction -en particulier l'accès aux données de l'entreprise- dans des conditions prédéfinies d'horaires, de délais et de performances.
Affirmer que l'intégrité des données est assurée implique que soient respectées les valeurs que peut prendre une quelconque de ces données, qu'elle soit considérée en tant que telle (un montant inscrit dans un compte ne peut être négatif) ou qu'elle soit placée en relation avec d'autres (le montant des fonds propres ne peut excéder le total du passif). Dans une Base de Données, les contrôles d'intégrité référentielle permettront d'empêcher la saisie de commandes pour un client déclaré clôturé ou de clôturer un client pour lequel il reste encore des créances en cours.
Affirmer que la confidentialité des données est assurée implique qu'elles soient accessibles pour consultation, mise à jour ou suppression, uniquement aux personnes ayant reçu l'habilitation nécessaire. Authentifier un utilisateur implique de vérifier qu'il s'agit bien de lui et qu'il n'agit pas sous la contrainte.
Ne pas répudier une transaction implique de ne pouvoir nier avoir reçu ou transmis un message lorsque ceci a été effectivement le cas.
Le système d'information d'une organisation regroupe des données stockées sur des supports, des processus qui ont pour objet de traiter ces données et des flux qui traduisent les divers échanges de données effectués par les acteurs impliqués dans le processus.
Nos quatre exigences de sécurité impliquent d'agir au niveau des données, des traitements et des flux.
Un article particulier est consacré aux risques liés aux flux et à la protection des réseaux, " Protection du réseau ", face à la garantie du secret des données échangées par deux correspondants.
Pour éviter le vol d'un ordinateur vous pouvez :
La vraie question est "combien dépenser par rapport au risque encouru ?". La dernière solution engendre des coûts qui ne sont envisageables que si l'ordinateur est un modèle unique comportant des données ultra-secrètes. S'il s'agit d'un simple PC, la solution No 1 suffit probablement.
Les spécialistes utilisent le concept de "risque maximal tolérable", défini comme la proportion des fonds propres fixée comme limite à ne pas dépasser pour ne pas remettre en cause la pérennité de l'établissement face à un sinistre informatique majeur.
Les études des cabinets spécialisés montrent que les dépenses en matière de sécurité des systèmes d'information représentent environ 5 milliards d'euros dans l'Union Européenne, soit 5% des investissements informatiques. Le budget sécurité représentait en 2000 1 à 3% des budgets informatiques français. La tendance actuelle estime cette proportion entre 5 à 8 %, ce qui montre une réelle prise de conscience. C'est une des rares branches du marché informatique à conserver un taux de croissance à 2 chiffres.
Il est beaucoup plus difficile d'évaluer le coût de la non-sécurité car les victimes ne sont pas très enclins à fournir des détails. Elle se monte probablement, pour la seule France, à plusieurs dizaines de milliards d'euros. On peut ainsi mieux mesurer le retour sur investissement d'une politique efficace en matière de sécurité.
Maîtriser les risques implique la mise en place d'une politique de sécurité. Une politique de sécurité est une déclaration officielle des règles qui doivent régir le comportement des personnes auxquelles on accorde un accès aux ressources technologiques et aux actifs informationnels d'une entreprise.
A l'image des grandes structures qui centralisent les problématiques de sécurité sur un groupe de travail animé par un RSSI (Responsable de la Sécurité des Systèmes d'Information), les petites structure doivent désigner un responsable qui va agir en tant que maître d'ouvrage.
Comme il ne peut couvrir tous les champs d'expertise, il pourra s'adresser à des prestataires extérieurs spécialisés.
La gamme des services offerts par les technologies de l'information s'enrichit sans cesse et chaque innovation porte en elle son cortège d'opportunités et de menaces.
Les menaces une fois identifiées, le marché offre rapidement des parades mais nous retouvons ici aussi une loi veille comme le monde, celle de la lance et du bouclier.
Aucun produit ne peut, à lui seul, protéger entièrement une entreprise. La solution garantissant le risque zéro n'existe pas. La véritable sécurité émerge d'une association de produits et de services, auxquels s'ajoutent une politique de sécurité complète et l'engagement de respecter cette politique dans l'entreprise, du plus haut au plus bas de l'échelle.
La sécurité des systèmes d'information, longtemps considérée comme une activité marginale à l'exception de quelques grands comptes héritiers d'une longue tradition de confidentialité, devient l'une des composantes critiques du projet d'entreprise. Les dirigeants d'entreprise doivent prendre conscience que celle-ci peut contribuer directement à la création de valeur.