1.2.2 La sécurité
de l'information
Cette partie servira à donner une définition et
une explication du concept qu'est la sécurité de l'information
pour l'entreprise.
1.2.2.1 Notion de
sécurité de l'information
Selon le dictionnaire Larousse, la sécurité est
une situation tranquille qui résulte de l'absence réelle de
danger. C'est aussi un processus dont le but est de réduire les risques
ou la probabilité de subir des dommages. De par cette définition,
nous pouvons en déduire que la sécurité de l'information,
c'est un processus permettant à une entreprise donnée de
réduire les risques ou la probabilité de subir des dommages quant
à la perte d'informations, à la présence d'informations
biaisées, à la mauvaise utilisation ou interprétation des
informations etc.
Le site Wikipédia définit la
sécurité des systèmes d'information (SSI) comme
étant l'ensemble des moyens techniques, organisationnels, juridiques et
humains nécessaire et mis en place pour conserver, rétablir, et
garantir la sécurité du système d'information. Le
gouvernement québécois dans sa politique de
sécurité de l'information (2009 : 2) ajoute que la
sécurité de l'information est l'ensemble des activités qui
préservent la disponibilité, l'intégrité et la
confidentialité de l'information, et ce, peu importe le support
utilisé pour la conserver ou la transmettre. C'est aussi un ensemble de
mesures de sécurité mis en place pour assurer l'authentification
des personnes et des dispositifs ainsi que l'irrévocabilité des
actions qu'ils posent. Autrement dit, la sécurité de
l'information désignedonc les mesures préventives qu'il faudrait
mettre en place pour préserver les informations et les moyens.
La sécurité de l'information, selon le manuel de
préparation CISA (ISACA, 2011 : 103), doit couvrir tous les
processus physiques et électroniques relatifs à l'information peu
importe s'ils concernent les gens et la technologie, ou les relations avec les
partenaires commerciaux, les clients ou des tiers. La sécurité de
l'information s'intéresse à tous les aspects de l'information et
de sa protection à tous les points de son cycle de vie au sein de
l'organisation.
La sécurité de l'information introduit le
concept de gestion des risques. Les normes ISO 2700x qui sont des normes de la
sécurité de l'information, sont établies pour permettre
d'organiser sereinement le Système de Management de la
Sécurité de l'Information(SMSI) de l'entreprise mais aussi de le
contrôler et l'améliorer tout en restant dans une idéologie
de gestion par les risques. Une entreprise peut et doit anticiper les menaces,
les risques et leurs conséquences qui pèsent sur son
système d'information en faisant une analyse complète de celui-ci
et de son environnement. Lorsque l'on réfléchit en termes de
sécurisation du SI, il faut garder à l'esprit que le niveau de
sécurité à appliquer doit toujours être basé
sur la sécurité du maillon le plus faible de la chaîne des
systèmes mis en jeu car un seul détail ignoré peut
conduire l'entreprise à une fermeture certaine.
M. Cochard, Directeur Général du Consortium
Internationale e-Miage, lors d'une présentation sur la
sécurité des systèmes d'informations à
l'université Picardie Jules Vernes en France (site foad.refer) a
défini plusieurs facettes de la sécurité de l'information
qui sont:
ü la sécurité physique : liée
aux systèmes matériels et à l'environnement (locaux,
alimentation électrique, climatisation ...) ;
ü la sécurité logique et applicative :
liée aux logiciels et applications (contrôle d'accès et
protection de données) ;
ü la sécurité de l'exploitation :
procédures de maintenance des systèmes, les mises à jour,
plan de sauvegarde et plan de secours ;
ü la sécurité des
télécommunications : liée aux infrastructures de
réseaux.
| 
