Bienvenue dans ce cours !
Vous le savez certainement déjà, car ce constat ne fait plus débat aujourd’hui : les missions que remplit le système d’information (SI), soit de collecter, stocker, traiter et diffuser l’information, le placent naturellement au cœur du business des entreprises. Sans le SI, la création de valeur serait considérablement réduite. Reprenons ensemble les menaces principales qui pèsent sur le SI, et ses indicateurs de sécurité.
SI en danger
Comme vous pouvez le voir tous les jours dans la presse, l’actualité récente nous éclaire sur le contexte sécuritaire dégradé dans lequel évoluent les entreprises, et également sur les risques associés qui pèsent sur leurs SI. Les menaces qui mettent en lumière les systèmes insuffisamment protégés sont principalement :
la prolifération des virus, bots et autres malwares qui font peser des menaces inédites sur les SI ;
le vol de données (data breach ou fuite de données) en raison de systèmes mal protégés ou de flux de données mal sécurisés, dans un contexte de concurrence économique féroce ;
l’altération d’information en raison d’erreurs de manipulation dues aux collaborateurs de l’entreprise, par manque de sensibilisation aux risques cybernétiques ;
la compromission de données en raison d’actes malveillants provenant de hackers motivés par l’appât du gain, ou mus par des convictions politiques.
DICT : Les indicateurs de sécurité informatique
À cause de ces différentes menaces, le SI doit assurer certaines fonctions de sécurité, que l’on peut regrouper sous l’acronyme DICT pour disponibilité, intégrité, confidentialité et traçabilité.
Disponibilité
Tout d’abord, la disponibilité du SI assure que les données ou les composants amenant certaines fonctionnalités soient toujours en mesure d’offrir les services pour lesquels ils ont été conçus.
Intégrité
Ensuite, le SI doit assurer l’intégrité des données, c’est-à-dire faire en sorte que les données en flux, à chaud ou à froid, ne soit modifiées que par les personnels et les systèmes autorisés.
Confidentialité
Par ailleurs, la confidentialité permet, grâce à des mesures prises au juste besoin, de protéger la donnée stockée, archivée ou en flux, d’un accès non habilité. Il faut donc s’interroger sur le juste niveau de protection à apporter à chaque donnée.
Traçabilité
Enfin, les actions sur le SI (accès aux données et traitements, envoi et réception d’un message) doivent être tracées, c’est-à-dire qu’il faut être capable de savoir qui réalise quoi, et quand. Vous entendrez également parler de non-répudiation.
Ce court chapitre vous en a peut-être fait prendre conscience : si le SI est au cœur du business des entreprises et constitue un vecteur de création de valeur, il est également la cible de risques hétérogènes et de menaces disparates.
Dans ce contexte sécuritaire dégradé, vous comprenez aisément l’importance de décrire ces risques, de les replacer dans le cadre d’action de l’entreprise et de définir les exigences de sécurité qui permettent de les amoindrir. C’est précisément le rôle d’une politique de sécurité des systèmes d’information. Regardons cela plus en détail dans le chapitre suivant.
En résumé :
le SI est au cœur de la création de valeur pour l’entreprise ;
de nombreux risques pèsent également sur lui : vols, altération de données, bots et autres virus ;
Dans ce panorama complexe, le SI doit assurer la confidentialité, l’intégrité, la disponibilité et la traçabilité des données.
