sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Les enjeux de la sécurité de l’information (suite)
sp

La sécurité de l'information, une responsabilité du Management

Repérer et définir les informations critiques pour une entreprise, choisir les mesures de sécurité adéquates, contrôler leur mise en oeuvre. Ces responsabilités de management sont difficiles à déléguer complètement.

La sécurité de l'information c'est 80% d'organisation et 20% de technologie, il faut savoir comprendre et gérer les risques spécifiques, organiser un projet sécurité, s'appuyer sur des normes et des méthodes, identifier les coûts et les gains.

Il serait donc dangereux dans une entreprise de déléguer entièrement la responsabilité de la sécurité aux seules équipes de la Direction des Systèmes d'Information qui risquent d'en favoriser la dimension outils et techniques.

Ainsi, la sécurité de l'information fait partie des tâches importantes de chaque cadre, dans chaque entreprise ou chaque organisation.

On constate d'ailleurs cette prise de conscience sur le rôle du management jusque dans les référentiels de normalisation de la sécurité de l'information comme l'ISO/IEC 17799 qui traduisent bien l'importance des aspects organisationnels et managériaux.

Le risque humain prépondérant

Les attaques de toutes natures se développent et se complexifient. Les attaques les plus fréquentes sont les attaques externes de type "hacker", car elles sont automatisables, réalisables à distance et donnent à l'attaquant un sentiment d'impunité. En revanche elles ne sont pas forcèment celles qui génèrent le plus de dégats pour l'entreprise. Les tentatives d'intrusion sont externes et les intrusions réussies et douloureuses sont d'origine interne.

En effet les attaques venant de l'interne peuvent mettre le plus en danger les entreprises ou organismes (vol d'informations critiques, détournement de fonds, dénigrement d'image de l'entreprise, ...).

Et si l'on croit les pirates ou experts les plus célèbres, le point le plus vulnérable des systèmes est donc souvent l'homme (voir les livres de Bruce Schneier ou de Kevin Mitnick).

La sécurité a donc une dimension humaine majeure et un caractère collectif : "la sécurité de mes informations dépend du comportement de mes voisins et vice versa", c'est donc, dans les entreprises une question de management.

 sp spacer

sp

Le périmètre de la sécurité de l'information ?

Si nous avons abordé le concept de DIC (Disponibilité , Intégrité et Confidentialité), d'autres concepts peuvent également être nécessaires pour caractériser la sécurité de l'information, il s'agit :

  •  d'authenticité renvoie au fait que le document est ce qu'il prétend être, c'est à dire qu'il n'a pas été manipulé, modifié ou autrement falsifié après sa création

  •  de fiabilité qui suppose le respect de trois conditions essentielles : le principe de l'image fidèle, la neutralité et la prudence

  •  de traçabilité qui est définie comme "l'aptitude à retrouver l'historique, l'utilisation ou la localisation de cette information au moyen d'une identification enregistrée"

  •  de non répudiation qui est une fonction qui permet d'obtenir la preuve de l'émission d'une information ou de sa réception. L'émetteur ou le récepteur ne peut ainsi en nier l'envoi ou la réception


dic

 

pix1 pix2 pix3 pix4