Beaucoup de sécurité, mais risque, si trop de protection, de ne plus pouvoir accéder aux machines (perte de temps, car il faut aller voir les bonnes personnes, soucis de délai). De plus, la protection coute cher (personnel, mots de passe à changer, maintenance serveur) Peu de sécurité, mais une plus grande fluidité dans les processus, meilleure marge de manœuvre (facilité de procéder & gain de temps). Donc réellement quel compromis choisir ?
La sécurité est un vaste sujet qu'il est toujours nécessaire d'aborder humblement étant donné la diversité, la complexité et la versatilité qui le caractérisent. D'un point de vue individuel, il correspond à l'état d'esprit d'une personne qui est tranquille, en confiance. On l'associe parfois à de la quiétude, de la sérénité, de l'assurance ou de la sûreté. On est en sécurité lorsque l'on est (ou que l'on pense être) à l'abri de toute menace, de tout risque. On parle de sécurité civile, intérieure, sanitaire, juridique, économique, industrielle, financière... On peut donc ainsi sécuriser sa maison avec un chien, une alarme, contrôler une ville avec des forces de l'ordre, ou même encore pacifier un État avec une armée.
De plus, la sécurité individuelle des personnes est un droit constitutionnel. À ce titre, elle a son fondement dans l'article 2 de la déclaration de 1789 qui place la sûreté parmi les droits naturels et imprescriptibles de l'homme au même titre que la liberté, la propriété et la résistance à l'oppression. D'un point de vue collectif, la sécurité a pour but de garantir la pérennité de l'entreprise. Elle s'inscrit dans le cadre d'un politique spécifique, visant à faire décroître les intrusions, les incohérences et les pannes des systèmes d'information dans le but de tendre vers une sécurité totale. Nous nous placerons tout au long de cette analyse dans un cadre collectif, en développant l'idée de la sécurité dans l'entreprise.
Ainsi, nous sommes entrés dans l'ère de l'économie de l'immatériel : avènement de l'informatique depuis la fin des années 1940 aux États unis avec le passage aux données numériques et leur démultiplication exponentielle au fil des années. Ceci a pour conséquence directe les fuites d'informations importantes qui peuvent mettre à mal l'entreprise (vie publique, privée, données sensibles concernant les finances ou les projets de la société). Cependant, quelques informations nécessitent la plus grande attention et prudence de la part des acteurs de l'entreprise.
Qu'appelle-t-on informations stratégiques? En quoi l'entreprise doit-elle les protéger? Qu'est-ce qu'un système d'information ? Le budget que l'entreprise doit allouer à sa maintenance est-il fonction du risque ou de l'importance que ces informations représentent ?
[...] Nous parlerons ici des différentes lois en vigueur, relatives chacune à une mission réalisée par le DSI. La sécurité des données confidentielles de l'entreprise est encadrée par la loi : l'article L. 152-7 du Code du travail prévoit que "le fait, par tout directeur ou salarié d'une entreprise où il est employé, de révéler ou de tenter de révéler un secret de fabrique est puni de deux ans d'emprisonnement et de euros d'amende". Certes, ce délit est intentionnel, de sorte qu'il faut démontrer l'intention de révéler un secret. [...]
[...] Elle nécessite cependant une forte implication du personnel. Il faut essayer en permanence d'anticiper les évènements, et pour cela il convient obligatoirement d'avoir de l'information quantitative ou qualitative sur les concurrents. Une veille concurrentielle (une bonne organisation dans la gestion de ces données) doit être mise en place par les acteurs économiques au travers de salons, journaux, CCI, recrutement, mais également sites web. Internet est un superbe outil pour faire connaître son entreprise donc pour surveiller les technologies d'autres entreprises du même secteur (www.surfandbiz.com permet de faire à la fois une recherche sectorielle et géographique des entreprises). [...]
[...] Les PME se doteront plutôt d'une charte, alors que les grands groupes développeront plusieurs niveaux dans leur politique, et éventuellement plusieurs chartes (par site ou établissement). La politique a plutôt un caractère de référentiel comportant la loi et ses décrets d'application, la charte a plutôt un caractère "utilitaire" et "juridique" s'apparentant à des rappels à la loi. Comment se met en place clairement cette politique de sécurité dans l'entreprise ? De telles mesures vont au-delà de la pose d'un cadenas et interpellent plutôt une éducation des employés quant à leurs obligations. [...]
[...] La sécurité, une dimension globale dans l'entreprise Dans l'entreprise, les salariés ne sont pas toujours au fait des différentes menaces qui pèsent sur le système d'information. Ils savent néanmoins qu'une panne de leur poste de travail, ou encore la perte de données sensibles (confidentielles, ou nécessaires à l'exécution de leur travail) les handicaperaient fortement dans l'avancée de leurs tâches. Comme le précise Serge Saghroune, RSSI du Groupe Accor "La politique de sécurité est quelque chose de vivant, elle vit au rythme de l'entreprise, au rythme des partenariats, des filiales Au moindre événement, il faut mener une réflexion adaptée pour réajuster le système". [...]
[...] Par ailleurs, il s'agit d'un excellent moyen de limiter la durée de vie des mots de passe ayant été cassés. Il est recommandé aux administrateurs système d'utiliser des logiciels de cassage de mots de passe en interne sur les mots de passe de leurs utilisateurs pour évaluer la solidité et la complexité des mots de passe dans le but de protéger l'entreprise. Ceci doit néanmoins se faire dans le cadre de la politique de sécurité et être écrit noir sur blanc, afin d'avoir l'approbation de la direction et des utilisateurs. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture