S’agissant des risques pesant sur les systèmes d’information, plusieurs termes sont employés à la fois par le législateur, les experts, les médias ou encore les assureurs : « violation », « incident », « faille », « perte », « atteinte ». C’est ce dernier que nous retiendrons pour deux raisons. D’une part, il nous paraît neutre quant au fait générateur. En effet, une atteinte peut être d’origine accidentelle ou volontaire. Au contraire, on pourrait déduire du terme « violation » un caractère nécessairement intentionnel, du fait de sa connotation pénale. Tandis que la « faille » évoque une lacune en termes de sécurité ayant été exploitée. Or, nous allons le voir, une multiplicité de causes est susceptible d’affecter le système d’information.
D’autre part, « l’atteinte » permet d’englober tous les types d’impact possibles : altération, destruction ou divulgation s’agissant des données, indisponibilité, perturbation pour le système. Alors que la notion de « perte », par exemple, souvent utilisée en cas d’incident concernant des données, semble se limiter à la destruction de l’information.
Selon le Larousse, une atteinte désigne l’« action, fait de causer à quelque chose un dommage, un préjudice matériel ou moral », ce qui nous conforte dans l’idée que cette notion nous permet d’embrasser toute la problématique des risques pesant sur les données, et nous sera plus largement utile dans la description des cyber-risques dans leur ensemble, car elle ne préjuge ni de l’origine du dommage, ni de la nature des dommages. Cela nous a semblé important du fait de la multiplicité de scénarios d’incidents possibles dans le cyberespace.
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance