II.2. Enjeux de la
sécurité au sein de l'entreprise
Avant d'aborder le domaine technique, il est
préférable de prendre un peu de recul et de considérer la
sécurité dans son ensemble, pas comme une suite de technologies
ou de processus remplissant des besoins bien spécifiques, mais comme une
activité à part entière pour laquelle s'appliquent
quelques règles simples.
· Pour une entreprise ou une institution connectée
à l'Internet, le problème n'est pas de savoir si on va se faire
attaquer mais quand cela va-t-il arriver ? Une solution est donc de
repousser le risque dans le temps et dans les moyens à mettre en oeuvre
en augmentant le niveau de sécurité permettant d'écarter
les attaques quotidiennes, pas forcément anodines et non
spécifiquement ciblées.
· Aucun système d'information n'est 100%
sûr.
Ces deux premières règles ne sont pas du tout
les manifestations d'une paranoïa mais bien un simple constat qu'il est
bon d'avoir toujours en tête pour ne pas se sentir à tort
à l'abri de tout « danger ». En
sécurité informatique, on ne parle pas d'éliminer
complètement les risques mais de les réduire au minimum par
rapport aux besoins/contraintes d'affaires. Il ne faut pas oublier non plus de
considérer les actions provenant de l'intérieur de
l'organisation, qui forment une partie (la majorité selon certaines
données) non négligeable des sources d'attaques.
II.2.1. La sécurité informatique : C'est
quoi ?
Nous pouvons considérer que la sécurité
informatique est divisée en deux grands domaines :
La sécurité organisationnelle
La sécurité technique
La sécurité organisationnelle concerne la
politique de sécurité d'une société (code de bonne
conduite, méthodes de classification et de qualification des risques,
plan de secours, plan de continuité, ...).
Une fois la partie organisationnelle traitée, il faut
mettre en oeuvre toutes les recommandations, et plans dans le domaine technique
de l'informatique, afin de sécuriser les réseaux et
systèmes : cet aspect relève de la sécurité
technique.
Le périmètre de la sécurité est
très vaste :
La sécurité des systèmes
d'information
La sécurité des réseaux
La sécurité physique des locaux
La sécurité dans le développement
d'applications
La sécurité des communications
La sécurité personnelle
Un risque se définit comme une combinaison de menaces
exploitant une vulnérabilité et pouvant avoir un impact. De
manière générale, les risques sont soit des causes
(attaques, pannes, ...) soit des conséquences (fraude, intrusion,
divulgation ...).
Les objectifs de la sécurité sont simples :
empêcher la divulgation de données confidentielles et la
modification non autorisée de données.
Nous retrouvons ainsi les principes fondamentaux de la
sécurité :
La confidentialité,
L'intégrité,
L'authentification,
Le contrôle d'accès,
La non répudiation.
Une seule entrave à l'un de ces principes remet toute
la sécurité en cause
| 
