II - Les risques liés à la
sécurité informatique
Les risques liés à la sécurité
informatique se définissent par rapport à l'importance des
différents types de systèmes informatiques dans le fonctionnement
de l'entreprise. On peut dès lors désigner les
différents risques existants et donc les objectifs à
protéger (A). Ces risques potentiels peuvent être
quantifiés grâce à l'utilisation de certaines techniques
d'audit (B).
A - Plusieurs types de risques
Les risques encourus pour l'entreprises peuvent être
plus ou moins important selon les systèmes attaqués. On peut
distinguer des risques stratégiques et des risques mineurs.
1°/ Les risques stratégiques
A l'instar d'I.B.M., de nombreuses entreprises pratiquent la
politique du zéro papier. Toute la « vie » de
l'entreprise étant dans son système informatique, il est
important que les serveurs garantissent d'une part l'intégrité et
la confidentialité des données mais aussi un fonctionnement sans
coupure qui entraînerait un ralentissement de l'activité.
L'importance grandissante des échanges de données (E.D.I.) et du
télétravail implique de même une fiabilité
importante du système.
C'est ainsi que le vol, la destruction ou l'altération
de données peuvent constituer des risques importants. C'est pourquoi,
par exemple, la firme américaine Boeing dépensa 57 000 dollars
pour vérifier des données après s'être aperçu
de l'intrusion de 2 lycéens dans son système.
En effet, la modification de données peut constituer
des risques énormes en faussant le fonctionnement de l'entreprise. Une
modification du moindre paramètre peut ainsi entraîner finalement
la réalisation d'un produit fini défectueux.
De plus, l'espionnage industriel est devenu une
réalité depuis que dès la fin de la guerre froide, les
services de renseignements de la plupart des pays ont en partie reconverti leur
services sur l'intelligence économique (sans compter les initiatives
privées). Certaines données comme par exemple les projets
à long terme de l'entreprises, ou bien ses données commerciales,
ou encore ses découvertes non encore brevetées sont bien souvent
virtuellement possible à voler, étant donné que la plupart
des systèmes même, d'une importance cruciale, sont reliés
à internet (même le réseau SWIFT qui gère les
transactions interbancaires est connecté). Les risques peuvent donc
être considérables. C'est ainsi que le célèbre
groupe d'avocats américains Gartner William Malik affirme que l'un de
ses clients à perdu 900 millions de dollars parce qu'un de ses
concurrents avait de la sorte pu tout apprendre sur ses projets.
Ces risques sont donc à prendre en considération
pour toutes entreprises, parce qu'ils peuvent entraîner une rupture dans
la continuité de l'activité. Il existe aussi d'autres risques,
d'une importance moins stratégique, mais qui peuvent tout de même
causer des troubles importants dans la vie de l'entreprise.
2°/ Les autres risques
On peut distinguer au minimum deux autres types de cibles
potentielles : le commerce électronique et les sites web.
En ce qui concerne le commerce électronique, il faut
tout d'abord noter que ce risque peut être considéré comme
stratégique pour une entreprise qui fonde son activité sur le
télépaiement. On peut tout de même écarter les
liaisons inter entreprises par EDI, car ces modes de paiement
électroniques offrent des garanties de sécurité
suffisantes, la plupart d'entre elles fonctionnant à partir de
réseau sécurisé type X25. Mais le
télépaiement par internet (protocole TCP/IP) offre beaucoup plus
de failles, potentiellement exploitables par des pirates. La principale est
bien sur la transmission des numéros de cartes bancaires et, pour
certains systèmes, des codes. Le stockage de ces mêmes
numéros est aussi un point faible, le serveur central pouvant faire
l'objet d'une attaque visant à voler les fichiers de numéros.
C'est ainsi que le fournisseur d'accès internet Netcom
de San Jose (Californie) s'est fait volé tous les numéros de
cartes de crédit de ses clients. Le célèbre hacker
américain Kevin Mitnick ayant volé plus de 17 000 numéros
avant de se faire interpeller.
Le piratage de sites web peut aussi constituer un risque. En
effet ceux-ci constituent souvent la vitrine virtuelle d'une entreprise. Ces
sites, n'ayant que rarement une importance stratégique pour
l'entreprise, sont souvent peu protégés. C'est ainsi que des
pirates détournent fréquemment de tels pages de leur but initial.
La perte engendrée par une telle attaque s'évalue
généralement en terme de perte d'image ou de
crédibilité vis à vis des clients. Il faut noter que ces
attaques peuvent être perpétuées dans deux
situations : un pirate qui veut se faire un nom, ou l'attaque d'un groupe
militant contre l'entreprise (le site du fabricant de fourrures Kriegsmann a
ainsi été la victime d'une telle attaque).
| 
