1.2.2.2 Principes
fondamentaux de la sécurité de l'information
Selon la norme ISO/IEC 27001 : 2005, la
sécurité de l'information se caractérise par les cinq
piliers suivantsde l'information :
ü l'intégrité : qui assure
que la donnée reçue est la même que celle qui a
été émise, c'est à dire qu'elle n'a pas
été corrompue. L'altération des données (le manque
d'intégrité) peut conduire à la prise de mauvaises
décisions.
ü la confidentialité : qui assure
que la donnée reste privée durant la transmission pour que seules
les personnes concernées aient la possibilité de la traiter. Il
faudrait pour cela un message crypté ou une clé d'accès
détenue uniquement par le(s) destinataire(s) concerné(s). La
divulgation d'informations privées (perte de la confidentialité)
ou le transfert d'informations privées à un destinataire autre
que celui concerné, peut affecter la crédibilité de
l'entreprise et surtout favoriser la concurrence.
ü la disponibilité : qui assure
que la donnée est présente et accessible à tout moment.
L'indisponibilité des informations en temps réel pourrait
entrainer un retard considérable dans les tâches à
accomplir et occasionner par la suite la perte de clients et donc des pertes
financières.
ü la non-répudiation : qui permet
de s'assurer de l'identité réciproque à la fois de
l'émetteur et du destinataire. Aussi qui permet de garantir qu'une
transaction ne peut être niée par aucun des correspondants.
Déroger au principe de non répudiation entraine une
non-traçabilité des conversations ou messages entre
l'émetteur et le destinataire et donc un non suivi quant au respect de
la confidentialité des informations (divulgation frauduleuse
d'informations).
ü l'authentification : qui permet de
s'assurer de la véracité de l'identité de l'utilisateur
qui souhaite accéder à des données à accès
restreint.
1.2.2.3 Missions et
Objectifs de la sécurité de l'information
L'objectif principal de la sécurité de
l'information est d'assurer la continuité d'exploitation de
l'entreprise. C'est aussi de minimiser le risque de dommages éventuels
par la prévention des incidents de sécurité et la
réduction de leur impact potentiel. Aucune protection aussi
sophistiquée soit-elle, ne peut garantir durablement
l'inviolabilité d'un système d'information car la
sécurité à 100% n'existe pas. Dès lors,
l'entreprise doit classer les sinistres selon leur probabilité de
survenance et leur impact, et prendre des mesures pour diminuer ces deux
facteurs. Ghernaouti-Helie (2000 : 20), Professeur à l'institut
d'informatique et d'organisation de HEC Lausanne, appuie cette idée en
disant que l'objectif de la sécurité des systèmes
d'information est de garantir qu'aucun préjudice ne puisse mettre en
péril la pérennité de l'entreprise. Cela consiste à
diminuer la probabilité de voir des menaces se concrétiser,
à en limiter les atteintes ou dysfonctionnements induits, et à
autoriser le retour à un fonctionnement normal à des coûts
et des délais acceptables en cas de sinistre. La sécurité
ne permet pas directement de gagner de l'argent mais permet d'éviter
d'en perdre. Ce n'est rien d'autre qu'une stratégie préventive
qui s'inscrit dans une approche d'intelligence économique.
La sécurité de l'information, dans un
système d'information automatisé ou non, est importante voire
primordiale pour toute entreprise qui souhaite assurer sa
pérennité dans le monde des affaires actuel. Avec la
mondialisation et l'avènement des nouvelles technologies de
l'information qui marquent l'ère actuelle, les systèmes
d'information aujourd'hui, sont basés sur des infrastructures
informatiques et de télécommunication. La
vulnérabilité de ces infrastructures implique donc la
vulnérabilité des systèmes d'information.
De plus, les systèmes d'information sont ouverts au
monde extérieur (clients, fournisseurs d'accès internet,
partenaires etc.), la probabilité qu'il y ait perte ou divulgation non
autorisée d'informations est relativement élevée ;
sachant que la perte de l'un des cinq piliers de l'information cités
plus haut peut être dommageable pour l'entreprise. Les
conséquences qu'elle pourrait encourir sont de plusieurs ordres dont les
plus importants sont l'impact financier, l'impact sur l'image, l'impact
juridique et dans le cas extrême l'interruption partielle ou
définitive de l'activité.
Ainsi mettre en place la sécurité de
l'information dans le système d'information, consent l'entreprise
à prévenir et éviter des incidents majeurs de même
que la propagation de leur impact néfaste sur l'ensemble de son
environnement.
L'étape que nous aborderons maintenant est celle qui
nous aidera à comprendre comment se fait la mise en oeuvre de la
sécurité de l'information et quels en sont les constituants, en
d'autre termes savoir en quoi consiste la mise en place d'un cadre de gestion
de la sécurité de l'information.
|