sécurité

La sécurité informatique, d'une manière générale, consiste à assurer que les ressources du système d'information (matérielles ou logicielles) d'une organisation sont uniquement utilisées dans le cadre où il est prévu qu'elles le soient.

Classification des risques

La sécurité informatique vise à se protéger contre les risques liés à l'informatique, pouvant être fonction de plusieurs éléments :

• les menaces qui pèsent sur les actifs à protéger ;
• les vulnérabilités de ces actifs ;
• la sensibilité de ceux-ci.

Si l'un des éléments est nul, le risque n'existe pas. C'est pourquoi, l'équation est généralement représentée par :

Risque = Menaces * Vulnérabilités * Sensibilité 

La sensibilité est la conjonction de différents facteurs :

• la confidentialité,
• l'intégrité,
• la disponibilité.

Les principales menaces effectives auxquels on peut être confronté sont :

• l'utilisateur : l'énorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur (par insouciance ou malveillance)
• les programmes malveillants : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données
• l'intrusion : une personne parvient à accéder à des données ou à des programmes auxquels elle n'est pas censée avoir accès
• un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.

La sécurité par la conception globale

La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.

Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :

• la sensibilisation des utilisateurs aux problèmes de sécurité
• la sécurité logique, c'est-à-dire la sécurité au niveau des données
• la sécurité des réseaux
• la sécurité des systèmes
• la sécurité des télécommunications
• la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée
• la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »)

Mise en place d'une politique de sécurité

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs desdites ressources possèdent uniquement les droits qui leurs ont été octroyés.

La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :

• élaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation ;
• définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
• sensibiliser les utilisateurs aux problèmes liées à la sécurité des systèmes d'informations.

La politique de sécurité est donc l'ensemble des orientations suivies par une entité en terme de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.

Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en terme de sécurité.

Mise en place d'un plan de continuité d'activité

Plus aucune entreprise ne peut se passer de l’outil informatique, d’où la nécessité absolue d’un plan de continuité de l’informatique. Ce plan a pour but la reprise des activités après une catastrophe et ce, de la manière la plus efficace possible tout en garantissant la survie de l’entreprise.

Extrait de Wikipédia, l'encyclopédie libre.