Le management du digital
Rechercher

Sécurité informatique : les bases

La gestion et la réduction des risques informatiques repose sur une combinaison de trois éléments : des outils et mécanismes techniques, une évolution de l’organisation et une adaptation des pratiques juridiques.

Pour les auteurs, un consultant et un avocat, qui n’abordent dans leur ouvrage que la sécurité logique, « le responsable sécurité se trouve confronté à un paradoxe où la généralisation du nomadisme permet aux employés de travailler de n’importe où et à n’importe quelle heure, et où le développement du concept " d’entreprise étendue " permet par ailleurs aux partenaires aussi bien qu’aux clients d’accéder directement à certaines ressources du système d’information. Et ceci alors même que l’entreprise ne peut plus accepter l’indisponibilité de son système informatique et où toute " fuite d’informations " peut avoir des conséquences catastrophiques. »

19 biblio

La sécurité informatique, réponses techniques, organisationnelles et juridiques, par Stéphane Calé et Philippe Touitou, Hermès Lavoisier, 282 pages.

Les enjeux de sécurité pour l’entreprise portent à la fois sur des pertes financières, d’image et de crédibilité, des vols d’informations confidentielles et sur les responsabilités juridiques. En termes de parades techniques, les auteurs détaillent une vingtaine de mécanismes susceptibles de réduire la vulnérabilité des systèmes d’information : pare-feux, serveurs relais, protection contre le spam et les codes malicieux, systèmes de détection et de prévention contre les intrusions, logiciels d’audit, réseaux privés virtuels, cryptographie, gestion des identités, contrôles d’accès réseaux, UTM (Unified Threat Management), outils de gestion et de supervision, compartimentage du système d’information, gestion des correctifs logiciels, sauvegardes des données... Côté organisation, les parades s’articulent autour des principes du PDCA, modèle dit en « roue de Deming » : Plan (établir un système de gestion de la sécurité de l’information), Do (le mettre en œuvre et l’exploiter), Check (contrôler et analyser), Act (mettre à jour et améliorer). « L’utilisation de ce modèle est tout à fait adaptée à la problématique de la sécurité, car peuvent apparaître tous les jours de nouvelles ressources, dont la criticité changera dans le temps et qui seront sujettes à des menaces évoluant sans cesse », précisent les auteurs. Sur le plan juridique, les actions vont porter sur la protection des données personnelles, les chartes d’utilisation des outils informatiques et la cybersurveillance des salariés. « Le DSI doit intégrer le fait qu’en assurant la protection du système, il contribue à la sécurité juridique de l’entreprise mais aussi à la sienne en sa qualité de salarié, pouvant répondre disciplinairement de ses fautes d’imprudence ou de négligence », rappellent les auteurs.

Les idées à retenir

  • La sécurité a pour corollaire l’image de marque de la société, son crédit, sa réputation.
  • La politique de sécurité ne doit pas entraver l’utilisation quotidienne du système d’information.
  • Il ne sert à rien de protéger uniquement un serveur critique si le routeur qui en permet l’accès peut facilement être attaqué.
  • La séparation des responsabilités est un principe général en matière de sécurité.
  • La principale justification des investissements en termes de sécurité n’est plus économique mais réglementaire.
  • Dans toute chaîne de traitement des données, il convient d’insérer, au moins à la fin, une étape de contrôle et de vérification des résultats qui ont été produits.
  • La mission du DSI recouvre à la fois la protection du système et la sécurité juridique de l’entreprise.
  • Les responsables informatiques répondent pénalement des infractions qu’ils commettent personnellement, même si ces infractions sont commises dans le cadre de leurs fonctions, par négligence ou sur ordre hiérarchique.
  • Le responsable informatique peut aussi devoir répondre pénalement des infractions commises par un salarié qu’il a sous ses ordres, si le dirigeant lui a confié une délégation de pouvoir valable.
  • Les modalités de contrôle de l’usage d’Internet doivent être portées à la connaissance des salariés et faire l’objet d’une consultation du comité d’entreprise, y compris lorsque le contrôle est dépourvu de caractère nominatif.
  • Le déni de service est une technique très perverse car son auteur n’a pas à entrer par effraction dans le système qu’il souhaite attaquer.
  • Toutes les infrastructures de sécurité reposent sur certains principes génériques, par exemple la constitution préalable d’une protection périmétrique (les murailles du château fort). Cette défense est renforcée par des outils d’analyse complémentaires qui veillent à ce que les flux ne contiennent pas d’éléments d’une attaque.
  • L’efficacité des produits de sécurité, notamment les pare-feux, dépend de la façon dont ils sont configurés et administrés.

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Laurence Essirart

Laurence Essirart

Nos Ouvrages

  • Symposiums Gartner : la synthèse

    Les équipes de Best Practices assistent chaque année au Symposium organisé par le cabinet Gartner qui présente des études, ses analyses et ses opinions sur l’évolution des technologies, du digital et des systèmes d’information.

  • La transformation digitale en 465 questions

    L’un des facteurs clés de réussite de la transformation digitale reste l’accès à la bonne expertise, aux meilleures pratiques et à tout ce qui peut favoriser le benchmark des organisations par rapport au marché, aux usages et aux technologies disponibles.

  • Benchmark Digital&Business - numéro 136

    Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances présentés lors du Symposium Gartner 2020, qui s’est déroulé en novembre, à distance. Les quelques 4 000 slides mis à la disposition des participants ont été analysés, afin de trouver les informations et chiffres-clés les plus pertinents.

A ne pas manquer

  • Comment rater...
sa Data Integration

    Pour rater son intégration de données, rien de plus simple. C’est à la portée de toutes les entreprises ! Il suffit de suivre nos treize commandements et d’oublier la gouvernance, la qualité, la sécurité et les enjeux métiers.

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris