La sécurité informatique : une question de survie !

Risques et enjeux liés à l'outil informatique

Avant toute mise en place d'un système de sécurité informatique ou lors d'une mise à niveau, il est fondamental de savoir pourquoi cette sécurité est importante. Pour répondre à cette question, la première étape, et peut-être la plus complexe, est de déterminer les enjeux les plus importants. Ces enjeux sont toutes les activités qui, en cas de catastrophe, auraient les conséquences les plus graves pour l'organisation. Il faut dès lors analyser l'importance des menaces informatiques au sein de ces activités.

Les menaces

La sécurité informatique vise à se protéger contre les risques liés à l'informatique, pouvant être fonction de plusieurs éléments, tel que les menaces qui pèsent sur les différents processus à protéger et les conséquences que celles-ci peuvent avoir. Les menaces sont de différents types : techniques et humaines, elles sont nombreuses et évoluent jour après jour. On retrouve parmi les plus connues :

• les très médiatiques virus, vers et autres chevaux de Troie, logiciels malveillants ayant comme effet de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté

• les intrusions : une personne parvient à accéder à des données ou à des programmes auxquels elle n'est pas censée avoir accès

• les sinistres comme le vol, l'incendie, les dégât des eaux ou encore la simple panne d'un composant informatique entraînant une perte de matériel et/ou de données

• une mauvaise manipulation ou une malveillance de l'utilisateur pouvant entraîner une altération voir la perte de données

Malgré nombres d'études, la probabilité d'occurrence du danger identifié, facteur critique dans la gestion du risque, est difficilement quantifiable et doit être mesurée en rapport directe avec l'activité.

Les piliers de la sécurité informatique

En regard de la multitude de menaces existantes, il importe de réaliser une étude globale du contexte dans lequel l'organisation évolue afin de déterminer la finalité du système d'information, les éléments essentiels sur lesquels il repose ainsi que les contraintes qui lui sont associées. Cette évaluation se fera en regard des cinq facteurs principaux suivants :

• la confidentialité, qui garanti le secret des informations. Ce facteur est particulièrement important dans le monde de la médecine. Prenons par exemple la problématique (au sens informatique) du secret médical, la confidentialité des données est telle que des moyens tout à fait spécifiques doivent être mis en place ;

• la traçabilité, qui comme son nom l'indique permet de garder la trace de tout ou partie des opérations informatiques effectuées, telles que les accès aux données ou encore la modification des informations ;

• la disponibilité, qui assure l'accessibilité de l'information au moment ou elle est demandée. Quelles seraient les conséquences d'une coupure de ligne lors d'une vidéo-conférence ou pire encore lors d'une intervention en télé-médecine ?

• l'intégrité, qui assure la non-corruption/dégradation de l'information (exemple : une corruption dans un fichier médical introduisant une erreur de traitement médical) ;

• l'identification et l'authentification, associé à une gestion des droits d'accès va garantir que seule la personne autorisée aura accès aux informations auxquelles il a droit.

On voit au travers de ces quelques exemples que les enjeux liés à la sécurisation des SI en terme de productivité, qualité et compétitivité sont très importants. Les implications moins directes, telle que celles liées au juridique ou à la réputation sont également à ne pas à négliger (défaut de secret médical). Les enjeux financiers directs (perte de productivité) ou indirects (atteinte à l'image, perte de qualité dans les prestations ou encore perte de clientèle) en cas d'incidents (sans conséquences) ou d'accidents, peuvent s'avérer conséquents.

L'adéquation des moyens

Chaque organisation doit donc définir les solutions à adopter en fonction:

• des enjeux à protéger et de la valeur de ceux-ci (ou de leur reconstruction)

• du risque (menace, probabilité d'occurrence et criticité)

• de la perte (financière, de productivité,...) potentielle

L'adéquation des coûts de protection avec les enjeux est prépondérant. Mais il faut garder à l'esprit qu'une protection maximale (100 % est illusoire) exige un coût extrêmement élevé voir supérieur au coût des éléments à protéger ou des conséquences qui pourraient y être associées. Il convient donc d'opter pour un équilibre entre le niveau de risque acceptable et un coût de protection raisonnable. D'autres éléments de prévention qui, en complément de la technologie et des compétences qui y sont associés, permettent d'optimiser les ressources mises en place. Ces éléments doivent également être intégré dans une politique de sécurité. A titre d'exemple, citons le domaine de l'assurance qui propose des couvertures pour certains des plus gros sinistres.

Quelques conseils

Le comportement de beaucoup d'utilisateurs peut faire pencher dangereusement le poids dans la balance au profit de l'insécurité. L'utilisateur de l'outil peut réduire à néant des efforts énormes passés à l'édification d'un système de sécurité si celui-ci ne vérifie pas les critères de fiabilité et de résistance nécessaire. Au minimum, et afin de minimiser tout risque, et ce même à titre privé, chaque utilisateur (ou administrateur du système) doit :

• posséder un logiciel antivirus récent correctement mis à jour

• régulièrement installer les mises à jour de son système : Windows, Linux, Mac, ...

• réaliser des sauvegardes de ses données sur des supports externes afin de diminuer le risques de perte de données en cas de sinistre (vol, incendie,...)

• utiliser des mots de passe de qualité, c'est à dire suffisamment longs et non triviaux (minimum 8 caractères, avec des chiffres, des majuscules et minuscules et des caractères spéciaux : #@& ... )

• etc...

A toutes les étapes de la sécurisation de vos infrastructures, il peut s'avérer particulièrement pertinent de faire valider la politique de sécurité par un observateur indépendant. Cette précaution n'est d'ailleurs pas limitée à un audit de la politique de sécurité, il est également possible, voire recommandé de valider les solutions techniques mises en place au moyen de tests de pénétrations par exemple afin d'éprouver les moyens mis en oeuvres.

Conclusion

On le voit la problématique de la sécurité informatique n'est pas une tâche ou l'improvisation domine. Il faut prendre conscience de ses propres enjeux et des risques qui y sont associés afin de définir une politique de sécurité qui correspond réellement à ses besoins. A la lumière de ces enjeux et des menaces identifiées mettre en place l'ensemble des moyens de protection définis par la politique de sécurité. Autrement dit, il faut se protéger en connaissance de cause. Il n'y a pas que les outils logiciel et matériel à considérer. En effet la remise en question permanente et une gestion quotidienne efficace est la clé pour la réussite d'un projet de sécurité. Finalement, la sécurité informatique est un métier à part entière, il ne faut dès lors pas hésiter pas à faire appel à des professionnels tant pour le conseil que pour la gestion au jour le jour si vous ne disposez pas des compétences en interne.

Christian Mack

Coordonnées Guardis :

Daniel Bartz
Managing Director
Téléphone : +32-(0)4/372.93.15
Email: info@guardis.com
Web: http://www.guardis.com

Guardis est spécialisé dans le conseil, la mise en place et la gestion de la sécurité informatique.