Parmi les causes non intentionnelles d’atteintes aux systèmes d’information, on peut penser à un certain nombre d’événements accidentels, tels que l’incendie ou les catastrophes naturelles. Ces événements sont en effet susceptibles d’endommager physiquement les installations informatiques de l’entreprise ou de provoquer une panne de courant ou de réseau, entraînant une indisponibilité du système d’information et/ou une atteinte aux données qui y sont stockées. Nous choisissons de ne pas nous attarder sur ces événements qui causent avant tout un dommage matériel aux installations informatiques : il ne s’agit pas de risques directement lié à la sécurité des systèmes d’information. De surcroît, nous nous concentrons sur les causes d’origine humaine. Ce qui nous intéresse plus particulièrement ici, ce sont donc les erreurs, maladresses et autres négligences susceptibles de mettre en échec l’intégrité, la disponibilité et la confidentialité du système.
Et ce sont des risques importants, car le facteur humain dans le fonctionnement du système d’information est omniprésent. En effet, plusieurs personnes sont chaque jour amenées à utiliser, interagir ou contrôler le système. Il s’agit principalement des salariés dont le système d’information constitue l’outil de travail, mais aussi des fournisseurs de prestations de services informatiques qui interviennent en lieu et place de l’entreprise dans tout ou partie de la gestion du système.
L’entreprise peut se rendre vulnérable tout d’abord par ses choix en matière de matériel informatique. Par exemple, le recours à des ordinateurs portables est plus risqué qu’un équipement fixe car plus vulnérable au vol et à la perte. Ce risque est d’ailleurs exacerbé par le recours de plus en plus répandu à la pratique du Bring Your Own Device (BYOD), comme nous le verrons plus loin(80). De même, le choix de la technologie utilisée, plus ou moins perfectionnée, et les caractéristiques principales des produits ont des impacts directs sur la sécurité du système. Si on comprend que les entreprises optent parfois pour du matériel aux capacités limitées pour réduire leurs coûts d’acquisition, le jeu n’en vaut pas toujours la chandelle, car les coûts engendrés par un incident peuvent vite effacer ces économies d’investissement. Toutes les entités du système sont concernées : ordinateurs, logiciels, réseau, etc., car toute faille technique est susceptible d’être exploitée par les cybercriminels, internes comme externes à l’entreprise, ou de causer à elle seule un dommage à l’entreprise ou aux tiers.
Outre les défauts technologiques, la manipulation du système dans chacune de ses composantes peut porter atteinte à la disponibilité, l’intégrité et la confidentialité des données. A ce titre les salariés, principaux utilisateurs du système d’information de l’entreprise, sont en première ligne. Ces derniers peuvent sans le vouloir utiliser l’un des composants du système à des fins étrangères à celles pour lesquelles il a été conçu. Par exemple, un employé peut recourir à un logiciel non adapté à la tâche qu’il souhaite exécuter, provoquant une erreur du système et peut être son indisponibilité momentanée ou encore une perte de données. Il peut aussi arriver que des salariés suppriment par erreur des informations, ou bien envoient accidentellement un mail contenant des données confidentielles au mauvais destinataire. L’intégrité et la confidentialité des données de l’entreprise sont donc particulièrement menacées par les maladresses des salariés.
Mais le critère de la disponibilité n’est pas en reste. A ce titre nous citerons la mésaventure le géant américain Google. Le 31 janvier 2010, les services du célèbre moteur de recherche ont été momentanément perturbés. Les internautes qui tentaient de lancer une recherche obtenaient tous le même avertissement avec leurs résultats de recherche : « ce site risque d’endommager votre ordinateur ». Pour ceux qui ne se sont pas arrêtés à cette mention et qui ont néanmoins cliqué sur les sites concernés, un autre message du même type s’affichait en lieu et place du site recherché. Ce dysfonctionnement a duré près d’une heure, avant que Google ne rétablisse le service. En cause : une simple erreur humaine. A la place de la liste noire des sites malveillants établie par Google, un salarié avait inséré un signe qui excluait tous les sites internet recensés par le moteur de recherche(81).
En plus des salariés, les prestataires de services informatiques auxquels l’entreprise a recours peuvent eux aussi commettre des erreurs susceptibles de mettre en échec les critères de sécurité du système d’information. Les entreprises délèguent de plus en plus la gestion de tout ou partie de leur informatique à des prestataires, pour des raisons de coûts généralement. Conseil, réalisation de logiciels, maintenance informatique mais aussi de plus en plus traitement ou hébergement des données. Sur ce sujet, le recours au cloud computing(82) fait couler beaucoup d’encre, nous le verrons. Tout manquement de la part de ces prestataires est susceptible d’impacter la sécurité du système d’information de leurs clients.
Rappelons que ces négligences, provenant de l’entreprise comme de ses prestataires, peuvent permettre la réalisation d’attaques cybercriminelles. Elles peuvent aussi être la source, en l’absence de toute intervention malveillante, de dommages pour l’entreprise et les tiers. Et les entreprises en ont conscience. Les erreurs des employés et les incidents causés par des fournisseurs de services liés aux données arrivent respectivement en deuxième (48%) et troisième position (34%) des menaces les plus redoutées par les entreprises interrogées, après les logiciels malveillants (72%)(83).
Ces craintes sont fondées si l’on s’en tient aux résultats d’une autre étude(84) qui révèle que la négligence humaine et les erreurs systèmes causent la plupart des violations de données dans le monde. En revanche, selon la même étude, les attaques malveillantes demeurent la première cause d’atteintes aux données en France (42%). La négligence des employés demeure tout de même à l’origine de 31% des atteintes, tandis que 27% d’entre elles sont dues à une défaillance du système.
Pour finir sur les origines des cyber-risques, certaines pratiques qui se répandent au sein des entreprises méritent que l’on s’y attarde quelque peu car elles peuvent amplifier les risques pesant sur la sécurité des systèmes d’information.
80 Cf infra Chapitre 3, Section 1
81 http://blogradar.fr
82 Cf infra Chapitre 3, Section 2
83 Harvard Business Review Analytic Services, Meeting the Cyber Risk Challenge, 2013
84 Ponemon Institute, Cost of Data Breach Study 2013, mai 2013
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance