La sécurité des Systèmes d’Information est-elle une illusion ?

Sisyphe était-il un homme heureux ? La mythologie a oublié de rapporter qu’il était aussi chargé des Systèmes d’Information à l’époque de la Zeus Company. Il fut notamment le précurseur des RFID et autres foutaises, assurant la traçabilité de ses troupeaux et confondant ainsi l’infâme Autolycos qui les lui volait grâce au pouvoir que lui avait donné Hermès. Sans nul doute, il fut aussi poursuivi par les pensées harassantes d’un Système d’Information suffisamment pour garder secrets les écarts de conduite du Père Zeus lui-même…

 

Sécurité des Systèmes d’Information… Une utopie ?

Quelques éléments :

  • On se préoccupe uniquement de la sécurité que de ce à quoi l’on tient. L’information n’est importante qu’en fonction de l’usage que l’on peut en faire. Elle devient alors plus ou moins confidentielle, son intégrité (assurance que la donnée n’a pas été modifiée sans autorisation et sans légitimité) plus ou moins importante, et la nécessité de sa disponibilité plus ou  moins critique.
  • Lorsque l’on parle de « Système d’Information » on sous-entend un ensemble de règles et de relations qui donnent du sens. La complexité s’invite alors, ainsi que ses failles. Nous voici dans le domaine de la gestion des risques.

 

Ceci étant posé, la sécurité des Systèmes d’Information repose sur quelques notions essentielles :

  • S’assurer que l’interlocuteur est le bon : Identifier le poste de travail, puis authentifier la personne qui est derrière.
  • Contrôler les accès : Ne donner à cet interlocuteur que les droits que son statut lui confère.
  • Impliquer de  manière indiscutable l’interlocuteur dans la relation qu’il crée avec le Système d’Information. Connue sous l’appellation non répudiation, c’est la trace indélébile que l’usager a bien fait la transaction qui lui est attribuée. Il ne peut ainsi plus s’en dédire.
  • Consigner une trace lisible de tous ces éléments.

 

La conformité d’un Système s’analyse alors au moyen d’audits qui vérifient point par point le respect des notions et principes évoqués ci dessus.

Il n’en reste pas moins vrai que les libertés individuelles doivent rester protégées. Les moyens mis en œuvre, dans des contextes à définir au cas par cas, sont d’abord :

 

  • le droit à l’anonymat, le recours aux pseudonymes.
  • L’impossibilité structurelle de relier entre elles les transactions réalisées à des dates différentes par un même utilisateur sur des Systèmes d’Information différents.
  • L’impossibilité, sauf pour l’administrateur d’un Système, d’observer la réalisation en cours d’une opération.

 

Le sujet est donc large, complexe, et de nature foncièrement instable, spécialement pour le Responsable Informatique ou le Directeur des Systèmes d’Information. L’analyse et la maîtrise de sa dérive passent alors par la mise en place d’une politique de sécurité, et de tableaux de bord adéquats.

L’application de la politique de sécurité relève enfin :

  • D’un travail de prévention.
  • D’une veille permanente permettant de détecter au plus tôt les défaillances.
  • D’une réaction rapide et pragmatique faisant l’objet d’un retour d’expérience et d’une capitalisation du savoir.

Utopie non, souci quotidien oui… Brave Sisyphe !!!

 

6 réponses
  1. Benoît Lacresse
    Benoît Lacresse dit :

    Il me semble important que le responsable des systèmes d’information ne soit pas le seul au sein de l’entreprise à se préoccuper des problématiques de sécurité du SI. Ce sujet doit être partagé avec le management de l’entreprise et les utilisateurs doivent être sensibilisés aux risques potentiels.

    Par exemple, il est toujours frappant de constater que le département informatique est parfois informé avec retard, voire pas du tout informé, du départ d’un collaborateur. Comment dans ces conditions peut-on s’assurer que les accès au SI de l’entreprise soient bien mis à jour ?

    Répondre
    • philippe.tronc
      philippe.tronc dit :

      Il est effectivement important de souligner que toute politique de sécurité est avant tout une politique d’entreprise. Il ne sert à rien de protéger le systèmes d’information si les mots de passe sont affichés sur des Post it scotchés sur les poste de travail. Il ne sert à rien de mettre en place des procèdures sophistiquées si l’on ne prend pas le soin de fermer à clé l’armoire qui contient les dossiers confidentiels du service…

      Répondre
      • ariane
        ariane dit :

        Totalement d’accord. La première méthode de hacking réellement prouvée reste d’ailleurs bien le Social Engineering ou Ingénierie sociale en français qui exploite une des failles majeures de l’entreprise : la sympathie humaine pourtant si indispensable à l’entreprise.

        Répondre
    • ariane
      ariane dit :

      La sécurité de l’information doit être la problématique première des mandataires sociaux de l’entreprise car l’information est l’asset le plus important avec les humains qui la partage. C’est pourquoi la sensibilisation au quotidien des équipes est la meilleure des manœuvres de sécurité que puisse opérer l’entreprise.

      Répondre
  2. Pierre DURAN CAMPANA
    Pierre DURAN CAMPANA dit :

    Sécurité et confidentialité : les emails sont-ils personnels ou appartiennent t-il à l’entreprise ? La sécurité du système doit permettre à chacun d’être assuré que les email sont protégés, mais à quel moment cette sécurité est-elle un obstacle pour l’entreprise lorsque l’utilisation de l’email est malveillante ou lorsque le collaborateur utilise son email pour des communications inappropriées ?
    L’email doit être sécurisé mais les personnels doivent savoir qu’il s’agit d’un des outils de l’entreprise.

    Répondre
    • ariane
      ariane dit :

      Ah c’est effectivement un débat l’email personnel en entreprise. Disons que de mon point de vue, tout ce qui est du registre privé doit comporter la mention « privé » et là, cela ne concerne plus l’entreprise. Mais actuellement, la législation étant ce quelle est, les personnes possédant un terminal smart phone en général en entreprise devrait le privilégier pour communiquer de manière privée et non utiliser les outils de l’entreprise, surtout si c’est à des fins malveillantes.

      Répondre

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *