SÉCURITÉ INFORMATIQUE DANS L’ENTREPRISE : Jusqu’où une entreprise peut-elle faire confiance aux outils de la sécurité informatique ?

Catégorie: 
securite informatique

Les technologies de l’information et de la communication (TIC) imprègnent le quotidien de la plupart des entreprises. Elles permettent d’effectuer un travail en réseau et simplifient la communication. Or le recours à ces nouvelles technologies amène à de nouveaux problèmes. Alors que la menace des virus informatiques n'étaient guère crainte dans les années 80, ils sont aujourd’hui répandus dans le monde entier et créent toutes sortes de menaces pour la sécurité informatique qui concernent non seulement les services informatiques mais aussi tous les salariés en contact direct avec le système d’information interne ainsi que les personnes de l’extérieur en charge des services et moyens externalisés chez un hébergeur. Voilà pourquoi des mesures de sécurité ont été prises depuis mais cela provoque un autre problème: jusqu’où une entreprise peut-elle faire confiance aux outils de la sécurité informatique ?

Mais avant il serait bon de savoir ce qu'est la sécurité informatique, le site securite-informatique.gouv.fr nous donne sa définition:

La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger les ordinateurs et les données qui y sont stockées. Si elles sont élaborées par des spécialistes, les plus simples doivent être connues et mises en œuvre par tous les utilisateurs.

La raison principale de l'existence de l'industrie de la sécurité informatique est que les produits et services informatiques ne sont pas naturellement sûrs. Si les ordinateurs étaient protégés des virus, il n'y aurait pas besoin de produits antivirus. Si les produits informatiques que nous achetons étaient sûrs par défaut, pourquoi verser autant de sommes pour les rendre plus sûrs?

Protéger les ordinateurs et les données? Mais contre quoi? Contre qui?

Contre les risques, et en voici une petite liste classée en trois catégories:

Les risques Physiques

  • Pertes de services essentiels
  • Accidents Incidents Majeurs
  • Agressions physiques
  • Vols
  • Evènements Naturels
  • Défaillance matérielle
  • Perturbation / Rayonnements

Les risques logiques

  • Compromission
  • des informations,
  • des fonctions
  • Divulgations d’info
  • Saturation de matériel
  • Dysfonctionnements
  • Logiciels

Les risques humains

  • Actions illicites
  • Malveillance
  • Atteinte à la maintenabilité
  • Erreurs

Et bien entendu ces risques ont des conséquences qui peuvent être désastreuses, en effet voici ce que nous pouvons lire sur un des articles du site lentreprise.lexpress.fr :

En 2011, 20 % des entreprises ont subi des pertes financières liées à des problèmes de sécurité, 17 % ont été victimes de vol de propriété intellectuelle, et 13 % ont vu leur image dégradée, des chiffres en nette progression par rapport à 2008
 

Quels sont alors les moyens mis en oeuvre contre ces dangers?

Il en existe plusieurs, mais nous allons lister les moyens les plus récurrents:

  1. Adopter une politique de mot de passe rigoureuse: L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections.
  2. Veiller à la confidentialité des données vis-à-vis des prestataires: Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en termes de sécurité et de confidentialité.
  3. Identifier précisément qui peut avoir accès aux fichiers: L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès.
  4. Sécuriser l’accès physique aux locaux: L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. 

 Mais alors avec tous ces outils on est sécurisé il n'y a donc plus rien à craindre!

Hélas là est le véritable problème, car comme  le disait Mikaël Masson Manager EMEA et co-fondateur Cyberprotect:

Parce que la sécurité est uniquement un moyen technique mis en œuvre pour protéger le système d’information contre les dangers connus du cyber-espace. Si l'on veut s'assurer que cette sécurité est efficace à tout moment, il faut la contrôler en permanence. Or, la sécurité ne peut se contrôler elle-même...

Autrement dit, la sécurité informatique ne fait que limiter les dangers, le risque zéro n'existe pas malheureusement, en voici un schéma pour mieux comprendre, celui-ci traite du niveau de sécurité des mots de passe:

D'apres ce schéma, au plus on monte de niveau, moins sera le nombre de personnes qui auraient l'envie de regarder vos données, mais le niveau absolu n'existe pas, c'est à l'utilisateur de choisir si il veut régulièrement ou pas changer de mot de passe, car ce changement ne s'effectuera pas tout seule, et c'est là que l'on constate une des limites de la sécurité informatique: elle ne peut pas tout faire.

Mais il existe un autre défaut de la sécurité informatique: la surveillance. 

Je ne comprends pas, la sécurité est là pour empêcher que nos données soient volées, et là on dit qu'il a des défauts? Mais comment?

Et bien c'est très simple, ou pas tant que ça. Nous allons voir à travers un extrait d'un arrêt en quoi tout-ceci est complexe:

•[…] Attendu, selon l’arrêt attaqué (Rennes, 11 mars 2010), que M. X..., qui était employé depuis le 1er février 1990 par la société Gan Assurances Iard en dernier lieu en qualité de responsable de domaine assurances de dommages, a été licencié le 17 octobre 2007 pour avoir détenu dans sa messagerie professionnelle des messages à caractère érotique et entretenu une correspondance intime avec une salariée de l’entreprise.
 
•[…] Mais attendu que le salarié a droit, même au temps et au lieu du travail, au respect de l’intimité de sa vie privée ; que si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié, il ne peut les utiliser pour le sanctionner s’ils s’avèrent relever de sa vie privée.

http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3214 

 

Tout le problème est là: Le salarié possédait dans sa messagerie des mails à caractère érotique, ce genre de contenus est interdit en entreprise, d'où la raison de son licenciement, mais ce dernier évoque le droit à la vie privée pour protester contre le fait que l'entreprise ait pris la décision de fouiller dans ses messageries sans sa permission.  Bien que le salarié soit en tort, on constate ici le problème de la confidentialité, peut-on encore parler de vie privée?

 

On retombe donc sur le problème de la sécurité informatique: à un moment donné, il va falloir déterminer quelles sont les limites à ne pas dépasser dans les mesures de sécurité à prendre en entreprise.

 

 

 

 

J'ai une sécurité au top, il n'y a plus aucun risque, on ne craint aucune attaque venant de l'extérieure! 

Et de l'intérieure? c'est ce qu'oublie hélas beaucoup de personnes. Dans les risques nous avons parlé des risques humains et cela se traduit par des imprudences venant des salariés (la clé USB contenant un virus informatique, l'accès à des sites parfois malveillants...) 

Cependant, les dirigeants interrogés nous disent que la menace est souvent plus proche de l’entreprise : ainsi, 31% des incidents de sécurité sont attribués à des employés, 27% à des anciens collaborateurs (27%) et 16% à des prestataires de l’entreprise.
Une menace interne souvent sous-estimée par les entreprises, qui ne la considèrent pas comme un réel risque.

« Cette situation s’explique notamment par le fait que de nombreux collaborateurs et prestataires ont accès au réseau interne de l’entreprise et bénéficient d’un niveau de confiance très élevé, voire trop élevé. Il est temps que les entreprises prennent en compte ce risque interne dans la sécurisation de leurs informations », précise Philippe Trouchaud

Extrait du site http://www.pwc.fr/la-securite-des-entreprises-nest-pas-assuree.html

Voilà pourquoi nous pouvons dire qu’une entreprise peut faire confiance aux outils de la sécurité informatique mais après c'est à l'entreprise de gérer tout ceci car ce que l'on peut retenir c'est que la confiance envers les employeurs et les salariés est aussi une façon de faire confiance à la sécurité informatique, attention à ce que cela ne soit pas non plus de la confiance aveugle.

« Le trop de confiance attire le danger. » 

Pierre Corneille – Extrait de Le Cid