La sécurité des systèmes informatiques (Théorie)
Comment Évalue t-on la sécurité d’un système informatique
La sécurité d’un système informatique peut s’évaluer sur la base d’un certain nombre de critères de sécurité. On distingue généralement trois principaux critères de sécurité :
Disponibilité : Elle consiste à garantir l’accès à un service ou à une ressource.
Intégrité : Elle consiste à s’assurer que les données n’ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).
Confidentialité : Elle consiste à rendre l’information inintelligible à d’autres personnes que les seuls acteurs concernés.
Complément
En plus des ces trois critères, on peut ajouter les critères suivants:
Authentification : Elle consiste à assurer l’identité d’un utilisateur, c’est-àdire de garantir à chacun des correspondants que son partenaire est bien celui qu’il croit être.
Non répudiation : Elle consiste à garantie qu’aucun des correspondants ne pourra nier la transaction.
L’évaluation de la sécurité d’un système informatique est un processus très complexe basé en général sur une méthodologie (standard ou non). Cette évaluation passe par une analyse de risques. L’analyse des risques pesant sur un système informatique elle même s’appuie sur un ensemble de métriques définies au préalable.
Exemple
Par exemple pour le critère « disponibilité », le choix des métriques d’évaluation peut être : Très haute, Haute, Moyenne, Basse.
L’analyse des risques fait partie du processus global de gestion de risques dans un système d’information.
Pourquoi sécuriser les systèmes informatiques ?
Les enjeux
1. Enjeux économiques
Les organismes ou entreprises à but lucratif ont presque toujours la même finalité : c’est de réaliser des bénéfices sur l’ensemble de leurs activités. Cette réalisation est rendue possible grâce à son système d’information considéré comme moteur de développement de l’entreprise. D’où la nécessité de garantir la sécurité de ce dernier. La concurrence fait que des entreprises s’investissent de plus en plus dans la sécurisation de leurs systèmes d’information et dans la qualité de service fournit aux clients.
2. Enjeux politiques
La plupart des entreprises ou organisations se réfèrent aux documents officiels de sécurité élaborés et recommandés par l’État . Ces documents contiennent généralement des directives qui doivent être appliquées par toute structure engagée dans un processus de sécurisation du système d’information. Dans le cadre du chiffrement des données par exemple, chaque État définit des cadres et mesures d’utilisation des algorithmes de chiffrement et les recommande aux entreprises exerçant sur son territoire. Le non respect de ces mesures et recommandations peut avoir des conséquences grave sur l’entreprise. A ce niveau, l’enjeu est plus politique parce que chaque État souhaite être capable de décrypter toutes les informations circulant dans son espace.
3. Enjeux juridiques
Dans tout système d’information, on retrouve de l’information multiforme (numérique, papier, etc.). Le traitement de celle ci doit se faire dans un cadre bien définit et dans le strict respect des lois en vigueur. En matière de juridiction, le non respect des lois et exigences relatives à la manipulation des informations dans un système d’information peut avoir des conséquences graves sur l’entreprise.
Exemple
En France par exemple, tout traitement de données à caractère personnel doit au préalable faire l’objet d’une déclaration auprès de la CNIL (Commission Nationale pour l’Informatique et les Libertés).