Sécurité des systèmes d’information
Le MINEFI/HFD (Haut Fonctionnaire de Défense) et l’ACFCI ont signé en 2002 une convention cadre pour sensibiliser et former à la sécurité des systèmes d’information les petites et moyennes entreprises. Cette convention prévoyait deux phases ; la première concernait la rédaction d’une brochure d’information destinée aux PME-PMI sur les risques liés à l’utilisation des TIC et s’est achevée fin 2002. La deuxième phase, qui débute, doit permettre de mettre en place dans les C(R)CI des cellules de sensibilisation aux menaces visant les systèmes d’information des PME-PMI et aux parades adéquates. La région Picardie, par l’intermédiaire de la CRCI, fait partie des huit régions pilotes désignées pour organiser les premières actions de sensibilisation.
Dans ce dossier, le Service d’Information Economique de la Chambre Régionale de Commerce et d’Industrie de Picardie se propose de présenter les systèmes d’information, les menaces dont ils sont l’objet et les risques encourus du fait d’incidents de sécurité. Les évolutions récentes et rapides de l’informatique ont contribué à l’accélération des échanges d’informations. Les entreprises se trouvent désormais confrontées au contrôle efficace de la confidentialité, de l’intégrité et de la disponibilité de ces informations. Véritable point névralgique, le système d’information est souvent la proie de multiples attaques qui menacent l’activité économique des entreprises et requièrent la mise en place d’une politique interne de sécurité.
D’une manière générale le système d’information concerne l’ensemble des moyens (organisation, acteurs, procédures et systèmes informatiques) nécessaires à l’élaboration, au traitement, au stockage, à l’acheminement et à l’exploitation des informations. Dans les faits, de nos jours, l’essentiel du système d’information est porté par le système informatique et la notion de sécurité informatique recouvre pour l’essentiel la notion de sécurité des systèmes d’information (SSI). Le concept de SSI recouvre donc un ensemble de méthodes, techniques et outils chargés de protéger les ressources d’un système informatique afin d’assurer la disponibilité des services, la confidentialité et l’intégrité des informations. Les échanges au travers notamment d’Internet ont rendu également nécessaire le développement de propriétés nouvelles comme l’authentification, la paternité et la traçabilité de l’information.
– Les menaces physiques Actes de délinquance (vols, détérioration) et accidents naturels sont des menaces physiques qui visent directement le matériel. Souvent ignorés, les évènements naturels, accidentels ou malveillants, représentent pourtant jusqu’à 8% des sinistres déclarés (source : étude 2003 du CLUSIF sur la sinistralité). Quelle entreprise peut se prétendre totalement à l’abri d’une inondation, d’une tempête ou d’un incendie d’autant que, si le matériel peut être, le plus souvent, aisément remplacé il n’en va pas de même des données qu’il contenait ? – Les menaces informatiques Bien plus connues et envisagées, dès lors qu’on parle de sécurité des systèmes d’informations, les menaces informatiques (virus, chevaux de Troie, spams…) n’en sont pas moins de réels dangers. En 2003 environ 18% des entreprises ayant répondu à l’enquête du CLUSIF (étude sur la sinistralité) ont déclaré avoir été infectées par un ou plusieurs virus et l’impact financier en a été jugé élevé dans 11% des cas. Heureusement la plupart des entreprises ont désormais saisi l’importance et l’intérêt des outils destinés à se prémunir de ces attaques (antivirus, firewall) et ces dernières voient leur efficacité reculer d’années en années.
– Les menaces internes Bien moins identifiées, les menaces internes sont plus souvent liées à la négligence et à l’ignorance du personnel de l’entreprise ; il s’agit plus d’inconscience que d’une réelle volonté de nuire. En général ces menaces correspondent à un usage personnel du matériel informatique de l’entreprise avec d’une part le risque d’infection par virus (surtout dans le cas des ordinateurs portables confiés aux employés) et d’autre part un risque pénal par le téléchargement de programmes ou de fichiers pirates (films, musiques) qui sont incompatibles avec les applications professionnelles ou utilisés en dehors du cadre légal (licences d’exploitation). Les cas d’espionnage industriel sont plus rares mais restent néanmoins un danger bien réel qui pèse sur les entreprises oeuvrant sur des marchés stratégiques. La sécurité des systèmes d’information passe aussi par la mise en place d’une politique efficace de protection visant à empêcher toute possibilité d’action malveillante par du personnel temporairement affecté à l’entreprise (stagiaires…)