Les entreprises sont aujourd’hui très dépendantes de l’informatique, et leur pérennité est donc intimement liée au bon fonctionnement de leurs systèmes d’information. Pour comprendre les risques qui s’y rattachent, il faut préalablement définir les critères de sécurité de ces systèmes avant de détailler les causes qui pourraient les mettre en échec. En matière de sécurité informatique, trois concepts de base sont utilisés pour évaluer la sécurité des systèmes d’information : la disponibilité, l’intégrité et la confidentialité.
La disponibilité d’une ressource qualifie le fait qu’elle peut être utilisée pour rendre le service pour lequel elle a été conçue. C’est l’ensemble du système d’information de l’entreprise, dans toutes ses composantes, qui doit être disponible pour qu’elle puisse exercer son activité. Réseau, serveur, données doivent être accessibles et opérationnels durant la période d’ouverture du service. Une indisponibilité de ces ressources peut porter préjudice aussi bien à l’entreprise qu’à ses clients ou ses partenaires commerciaux.
Les entreprises sont aujourd’hui très dépendantes de l’informatique, et leur pérennité est donc intimement liée au bon fonctionnement de leurs systèmes d’information. Pour comprendre les risques qui s’y rattachent, il faut préalablement définir les critères de sécurité de ces systèmes avant de détailler les causes qui pourraient les mettre en échec. En matière de sécurité informatique, trois concepts de base sont utilisés pour évaluer la sécurité des systèmes d’information : la disponibilité, l’intégrité et la confidentialité.
La disponibilité d’une ressource qualifie le fait qu’elle peut être utilisée pour rendre le service pour lequel elle a été conçue. C’est l’ensemble du système d’information de l’entreprise, dans toutes ses composantes, qui doit être disponible pour qu’elle puisse exercer son activité. Réseau, serveur, données doivent être accessibles et opérationnels durant la période d’ouverture du service. Une indisponibilité de ces ressources peut porter préjudice aussi bien à l’entreprise qu’à ses clients ou ses partenaires commerciaux.
L’intégrité d’une ressource désigne le fait qu’elle n’a pas été altérée ou détruite. Le terme ressource doit être entendu au sens large : transactions, traitements, services, logiciels, données. Une information qui n’a pas été modifiée ou effacée sans l’autorisation de son propriétaire est donc fiable et peut être exploitée par l’entreprise. La sauvegarde de l’exactitude et de l’exhaustivité des informations et des méthodes de traitement est essentielle là aussi à la pérennité de l’activité de l’entreprise.
Il faut également noter que l’intégrité des matériels informatiques est indispensable au bon fonctionnement de l’infrastructure informatique, mais ce ne sont pas là les risques qui nous préoccupent.
Enfin, la confidentialité suppose que seules les personnes autorisées ont accès aux ressources de l’entreprise et a fortiori peuvent les utiliser, les modifier ou les divulguer. Ce critère s’applique naturellement plus spécialement aux données qui pour une raison ou une autre doivent rester secrètes. C’est le cas des données commerciales de l’entreprise (fichiers prospects, contrats, stratégie commerciale, brevets, etc.) et des données personnelles qu’elle peut avoir en sa possession (nom, prénom, adresse mais aussi coordonnées bancaires ou encore données de santé concernant des clients ou des salariés voire des patients).
Une divulgation non autorisée de ces informations pourrait par exemple porter atteinte au secret professionnel et au bon fonctionnement de l’économie de l’entreprise, ou encore aux droits fondamentaux, notamment le droit à la vie privée.
Le risque est donc la probabilité que se produise un événement mettant en cause la disponibilité, l’intégrité ou la confidentialité du système et des informations qu’il contient ou qui le composent. Plus précisément, deux grands risques pèsent aujourd’hui sur les entreprises. Il s’agit d’une part de l’atteinte aux données, les deux termes étant entendus au sens large, c’est-à-dire toute altération, suppression ou divulgation d’informations de toute nature. Et d’autre part, une indisponibilité ou un dysfonctionnement du système dans son ensemble. Ces deux événements étant source de conséquences pécuniaires directes et de responsabilités pour les entreprises.
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance