La sécurité d'un système d'information (SI) ne repose ni sur un éditeur de solution ni sur un distributeur de matériel, quelles que soient leurs notoriétés respectives.
Elle n'est pas non plus juste décrite et validée par une norme. Avoir confiance en sa sécurité est la première des failles.
Le SI et ses interrelations croissantes sont le talon d'Achille d'une entreprise.
Une direction informatique doit pouvoir assurer le bon fonctionnement ainsi que la disponibilité des services métiers, l'accès aux données, leur protection et leur intégrité, le tout sur une infrastructure stable, "basculable" et évolutive.
La sécurité du SI doit intégrer :
- risques matériels : vols, disfonctionnements et pannes, incidents environnementaux (chaleur et incendie, innondation, magnétisme,...)
- risques données : bugs logiciels, inadvertance/malveillance utilisateur, intégrité, niveaux d'accès, confidentialité, non régression
- risques réseaux et accès : non disponibilité des services, rupture d'interconnexions, de téléphonie, intrusions réseau & telecom*
* espionnage industriel, détournement d'information, bombes logiques, google bombing, vol de données personnelles, vol de bande passante, hébergement furtif, utilisation des ressources machines, rebonds réseau, ... sont des réalités.
On pense souvent à tort ne pas être exposé au piratage, mais un système est bien souvent la porte d'entrée d'un autre, ou des ressources offertes pour une utilisation détournée, voire une attaque de plus grande envergure.
La sécurité du SI est affaire :
- d'obligation juridique : un directeur d'entreprise est responsable en sa qualité de représentant légal de la personne morale de l'utilisation faite par son système d'information; par ailleurs, des lois financières (Sarbanes Oxley Act SoX, loi de sérit´ financ;ière LSF) imposent un certain niveau d'intégrité
- de protection des données sensibles : données confidentielles de l'entreprises, données commerciales et financières, données privées des collaborateurs, données métier
- de maintien fonctionnel et optimal de l'activité : qui dépend directement du fonctionnement du SI, de la disponibilité des services et des outils de l'entreprise
- d'image (partenaires, clients, concurrents, employés)
- d'implication
(maintien de la sûreté et de l'économie nationale et mondiale)
- d'éthique
Se protéger des menaces c'est avant tout les connaître et les comprendre. La sécurité est un problème autant humain que technique.
Rester protégé, c'est se tester et pouvoir s'adapter de manière simple et réactive.
