Enjeux sécurité

Qu'elle est la valeur de l'Information ?

Les japonais du groupe Mitsui ont coutume de dire que l'information est le sang des entreprises. Les technologies de l'information favorisent l'augmentation de la valeur de l'information pour les entreprises. Et si l'information a une valeur intrinsèque (liée notamment à sa création), c'est surtout dans son échange et son partage qu'elle développe cette valeur.

On peut dire que l'information acquiert de la valeur quand elle aide les collaborateurs à agir plus efficacement lorsqu'ils cherchent à réaliser les objectifs qui leur sont assignés par l'entreprise.

Cette valeur de l'information peut prendre diverses formes :

  • la connaissances des clients ou les informations partagées avec les fournisseurs et partenaires.
  • Les bases de données de l'entreprise.
  • Les connaissances (ou savoirs) du personnel de l'entreprise, soit le capital humain
  • Les brevets, les méthodes, ...

Bien qu'il soit difficile d'attribuer à ces éléments une valeur comptable ou les évaluer en fonction de paramètres comptables normalisés, la perte, la manipulation ou le vol d'informations peuvent considérablement affaiblir une entreprise et remettre en question ses perspectives d'avenir. Il est toujours plus onéreux de produire de l'information que de la copier.

La sécurité de l'Information

L'information représente un actif aussi important que les actifs liés au système de production classique (actifs physiques, actifs humains, actifs financiers, actifs sociaux,...).

Et si de multiples protections ont été développées vis à vis des actifs, que l'on pourrait appeler « traditionnels » : protection des infrastructures, dommages aux biens, protection sociale, en revanche, la sécurité de l'information n'est généralement garantie que de manière partielle et peu coordonnée dans les entreprises et organismes.

La sécurité de l'Information peut être définie comme un dispositif global dont la mise en œuvre assure que l'Information d'une façon qui garantit un niveau approprié de protection de cette information &des actifs liés dans le but d’en garantir :

  •  sa Disponibilité : Garantir que les utilisateurs habilités ont accès à l'information et aux ressources associées au moment voulu
  •  son Intégrité : Sauvegarder l'exactitude et la fidélité d'information et des méthodes de traitement des données
  •  sa Confidentialité : Garantir que seules les personnes habilitées peuvent accéder à l´information

La sécurité de l'information est donc un domaine vaste  : il couvre la sécurité des systèmes d'information et des réseaux, la protection vis à vis de l'intelligence économique, la classification de l'information, la gestion des actifs informationnels.

« Les entreprises doivent intégrer la sécurité à leurs services pour gérer les problèmes liés à la perte de confiance. Aussi, les entreprises intelligentes rechercheront et déploieront avec force les nouvelles technologies qui offrent ce genre de protection aux consommateurs. »
   Jonathan Penn, Forrester Inc. (« Regagner la confiance du consommateur en Internet »)

La sécurité de l'information, une responsabilité du Management

Repérer et définir les informations critiques pour une entreprise, choisir les mesures de sécurité adéquates, contrôler leur mise en oeuvre. Ces responsabilités de management sont difficiles à déléguer complètement.

La sécurité de l'information c'est 80% d'organisation et 20% de technologie, il faut savoir comprendre et gérer les risques spécifiques, organiser un projet sécurité, s'appuyer sur des normes et des méthodes, identifier les coûts et les gains.

Il serait donc dangereux dans une entreprise de déléguer entièrement la responsabilité de la sécurité aux seules équipes de la Direction des Systèmes d'Information qui risquent d'en favoriser la dimension outils et techniques.

Ainsi, la sécurité de l'information fait partie des tâches importantes de chaque cadre, dans chaque entreprise ou chaque organisation.

On constate d'ailleurs cette prise de conscience sur le rôle du management jusque dans les référentiels de normalisation de la sécurité de l'information comme l'ISO/IEC 27001 qui traduisent bien l'importance des aspects organisationnels et managériaux.

Le risque humain prépondérant

Les attaques de toutes natures se développent et se complexifient. Les attaques les plus fréquentes sont les attaques externes de type "hacker", car elles sont automatisables, réalisables à distance et donnent à l'attaquant un sentiment d'impunité. En revanche elles ne sont pas forcément celles qui génèrent le plus de dégâts pour l'entreprise. Les tentatives d'intrusion sont externes et les intrusions réussies et douloureuses sont d'origine interne.

En effet les attaques venant de l'interne peuvent mettre le plus en danger les entreprises ou organismes (vol d'informations critiques, détournement de fonds, dénigrement d'image de l'entreprise, ...).

Et si l'on croit les hackers ou experts les plus célèbres, le point le plus vulnérable des systèmes est donc souvent l'homme. La sécurité a donc une dimension humaine majeure et un caractère collectif : "la sécurité de mes informations dépend du comportement de mes voisins et vice versa", c'est donc, dans les entreprises une question de management.

Le périmètre de la sécurité de l'information ?

Si nous avons abordé le concept de DIC (Disponibilité , Intégrité et Confidentialité), d'autres concepts peuvent également être nécessaires pour caractériser la sécurité de l'information, il s'agit :

  • d'authenticité renvoie au fait que le document est ce qu'il prétend être, c'est à dire qu'il n'a pas été manipulé, modifié ou autrement falsifié après sa créatio  qui suppose le respect de trois conditions essentielles : le principe de l'image fidèle, la neutralité et la prudence
  • de traçabilité qui est définie comme "l'aptitude à retrouver l'historique, l'utilisation ou la localisation de cette information au moyen d'une identification enregistrée"
  • de non répudiation qui est une fonction qui permet d'obtenir la preuve de l'émission d'une information ou de sa réception. L'émetteur ou le récepteur ne peut ainsi en nier l'envoi ou la réception