Les bases de la sécurité informatique

Pourquoi parle t-on de la sécurité des systèmes d’information et qu’est ce que c’est concrètement ?

Pour bien comprendre, prenons ce simple cas d’utilisation qui est bien réel dans les entreprises.

Imaginez d’avoir une entreprise de fabrication de pièces mécaniques avec des filiales un peu partout dans le monde.

Votre cœur de métier est la production d’un produit dont vous seul avez la maîtrise. Au fond de vous, vous savez que tous vos concurrents aimeraient fabriquer aussi ce même produit. Toutes vos pièces sont conçues et fabriquées en chaîne dans une usine de production.

Votre entreprise possède une base clientèle importante que vous avez constitué au fil des ans. D’abord par les commandes passées par téléphone par vos clients au début de la création de l’entreprise. Puis par les commandes passées par fax, et plus récemment par les enregistrement sur votre nouveau site internet. Aujourd’hui tous vos clients passent leurs commandes sur votre site internet qui est accessible 24/24.

  • Le chiffre d’affaire a augmenté, les filiales aussi.
  • Les clients ont augmenté, les commandes aussi
  • Les employés sont encore plus nombreux, l’usine de production s’est transformée

Tous ces éléments continuent de croître, votre entreprise se porte à merveille. La vie est belle, et donc vous commencez à voir les choses en grand.

Maintenant que vous voyez les choses en grand, vous pensez à la survie de votre entreprise, ainsi vous faites plusieurs vœux.

  1. Vous voulez protéger votre cœur de métier, aucun de vos concurrents ne doit avoir connaissance du secret de fabrication de vos pièces.
  2. Vous voulez conserver à l’abri de tous, votre liste clientèle
  3. Il vous faut aussi limiter les accès dans votre usine de fabrication
  4. Votre chaîne de fabrication doit être toujours opérationnelle
  5. Votre site internet ne doit jamais être inopérant, même pas pendant 1 minutes.
  6. Enfin vous voulez surtout préserver l’image de marque de votre entreprise.

En d’autres termes, vous voulez protéger votre entreprise et les biens essentiels qui s’y trouvent. En sécurité informatique, on va dont protéger l’entreprise

  • contre quoi ?
  • contre qui ?
  • et enfin comment ?

Chaque fois que l’on veut protéger quelques chose, c’est parce que l’on pense à une menace menace car elle est toujours présente.

Les principes de sécurité informatique ou encore les objectifs à atteindre

  • La confidentialité : l’information doit rester inintelligible à toute personne non autorisée
  • L’intégrité: l’information ne doit en aucun cas être altérée, ni crée par un adversaire
  • L’authentification: s’assurer de l’identification de qui accède à l’information
  • La non répudiation: un acte posé ne pourra être réfuté
  • La disponibilité: l’information doit être accessible à tout moment

Les moyens de la sécurité informatique

Pour atteindre les objectifs de la sécurité informatique, plusieurs moyens vont être mis en œuvre:

  • La cryptologie ou la science du secret
  • Les systèmes d’authentification
  • Le contrôle d’accès
  • Le hachage
  • Le filtrage (pare-feu)

La menace est omniprésente

Parmi les menaces que tôt ou tard les RSSI se retrouvent confrontés. notez

  • l’usurpation d’identité
  • l’altération ou la destruction partielle ou totale des données
  • l’atteinte à la disponibilité du SI
  • l’espionnage et le vol des données

Pour un SI dit vital, tout ce qui le menace est considéré mortel. Les menaces vont engendrer des risques et des coûts humains et financiers énormes. Parmi les risques les plus redoutés, les RSSI vous parleront sûrement de l’image de marque qui peut être écorchée, de la perte de notoriété, du patrimoine intellectuel de l’entreprise.

Le risque pourra se réaliser si le SI menacé présente des vulnérabilités.

Dans tous les cas, vous devez considérer le risque parce qu’il sera toujours présent. Soit vous l’assumez (mise en place des moyens de sécurité) , soit vous le transférez (assurance).

Vous devez quoi qu’il advienne le mesurer en considérant le préjudice que cela peut causer. Multiplier ce préjudice par la probabilité que cela se produise, et vous obtiendrez une mesure du risque.

Risque = préjudice x probabilité d’occurrence.

Références:

[1] – Sécurité informatique : Principes et méthodes à l’usage des DSI, RSSI et administrateurs de Laurent Bloch

[2] – Linux Administration Tome – 3 Sécuriser un serveur Linux de Jean-François Bouchaudy

Dieudonné MIAFFO

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *