Connaître et maîtriser ses risques informatiques

Extraits

[...] Le droit : Art.323-1 du Code pénal et suivants : Art. 323-1 du Code pénal . Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de 2 ans d'emprisonnement et de d'amende Art. 323-2 du Code pénal . [...]

[...] Pour s'assurer de l'efficacité de l'Evaluation des Risques et Réponses. Pour s'assurer de l'efficacité des Activités de Contrôle. Pour s'assurer de l'efficacité du Pilotage Eléments de contrôle interne, les objectifs SI Les objectifs de contrôle pour les SI : - Efficacité et efficience - Conformité - Fiabilité - Accessibilité - Confidentialité Contrôle SI : Les objectifs du contrôle SI sont en accord et permettent d'atteindre les objectifs de l'organisation. Mise en place du Contrôle SI : Contrôles généraux Contrôles opérationnels Eléments de contrôle interne, les objectifs SI Contrôles généraux : Les contrôles généraux des systèmes d'information sont des contrôles destinés à garantir l'environnement dans lequel les contrôles opérationnels fonctionnent. [...]

[...] Souvent, les contrôles généraux des systèmes d'information sont des règles et des procédures qui régissent plusieurs contrôles opérationnels. Voici quelques exemples spécifiques: - Gestion et maintenance des systèmes d'information, - Gestion des opérations des systèmes d'information, - Protection du système, avec par exemple les contrôles d'accès internes et externes, - Gestion des contrats de sous-traitance. Contrôles opérationnels: Ce sont des contrôles intégrés dans les processus business pour s'assurer que toutes les transactions approuvées sont correctement traitées et enregistrées. Voici quelques exemples spécifiques : - Contrôle pour s'assurer de l'autorisation, de l'exhaustivité des entrées, - Modification des erreurs et retraitements, - Maintenance, gestion et accès aux bases de données, - Contrôles d'accès, tels que l'authentification des utilisateurs du système et/ou des restrictions de fonctionnalités. [...]

[...] CARTOGRAPHIE DES RISQUES INFORMATIQUES INTRODUCTION INTRODUCTION L'identification et la gestion des risques informatiques : Pourquoi ? Un des éléments clés du contrôle interne : - pour améliorer les performances de l'entreprise, - pour maîtriser les activités de l'entreprise, - pour sécuriser la conduite des opérations. Le management des risques informatiques, composante du contrôle interne, est une des responsabilités fondamentales des dirigeants. (Sarbanes-Oxley Act, LSF ) La qualité du dispositif de contrôle interne permet-elle de s'assurer qu'aucune faiblesse significative n'existe au niveau du système d'information ? [...]

[...] - Piratage des données, espionnage industriel ou financier, - Virus malveillants, - Hacking (Attaque d'un système d'information) Les risques sont externes et internes et peuvent obliger à mettre la clé sous la porte INTRODUCTION Le piratage informatique s'aggrave Source : Les Échos du 07/02/ INTRODUCTION La cybercriminalité passe à l'ère industrielle Source : Les Échos du 08/12/06 Radicalisation des agressions passant de la génération des génies de l'informatique qui agissaient par défi à des organisations parfois mafieuses 6 INTRODUCTION L'insécurité informatique menace plus que jamais les PME Source : Les Échos du 07/12/06 Pour beaucoup de patrons de PME, la SECURITE REPRESENTE UNE DEPENSE QUI NE RAPPORTE RIEN INTRODUCTION Mais comment les patrons de PME peuvent-ils accepter de tels risques ? Un dirigeant accepterait-il de laisser en libre consultation ses comptes bancaires ? Laisserait-il les magasins de stockage sans surveillance, sans système d'autorisation de sorties des produits ? Accepterait-il de laisser quiconque dans l'entreprise signer les contrats ? Accepterait-il l'instauration de délégation de pouvoirs sans limite (embauches, investissements, salaires ) ? 8 INTRODUCTION La sécurité ne dépend pas de la taille. Exemple : - Brevets, - Données confidentielles. [...]