17 juillet 2006

La sécurité informatique en entreprise

La sécurisation des données informatiques est hautement stratégique pour une institution, organisation ou entreprise. En matière intelligence économique, elle participe de la conservation de l'information. Qui plus est, l'infrastructure informatique constitue de plus en plus l'interface de toute entreprise, le noyau vital conditionnant ses performances. L'indépendance technologique est donc un horizon de fin en terme de sécurisation des données.

Vers une plus grande sécurité des systèmes d’information (SSI)


La Sécurité des systèmes d’information (SSI) peut être définie comme l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires pour conserver ou rétablir la disponibilité, l'intégrité et la confidentialité des informations ou du système.

D'importants dommages financiers peuvent résulter des bris de sécurité informatique. Bien qu'il soit difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par des programmes malveillants comme le vers Code Red. D'autres dommages substantiels, comme ceux reliés au vol de numéros de cartes de crédit, ont été déterminés plus précisément.

Outre les aspects financiers, des bris de sécurité informatique peuvent causer du tort à la vie privée et la confidentialité, et sont pour cette raison sanctionnés lorsqu'une négligence de l'hébergeur peut être établie (non-application d'un correctif dans des délais raisonnables, par exemple).

La sécurité informatique vise à se protéger contre les risques liés à l'informatique, notamment les tentatives de piratages informatiques, pouvant être fonction de plusieurs éléments.
  • Les menaces qui pèsent sur les actifs à protéger.
  • Les vulnérabilités de ces actifs.
  • La sensibilité de ceux-ci, qui est la conjonction de différents facteurs.
  • La disponibilité.
  • L'intégrité.
  • La confidentialité.
  • L'imputabilité.

Trop d'entreprises délèguent cette tâche à une tierce partie et se dotent de systèmes d'exploitation extrêmement faillible et d'une suite de logiciels propriétaires peu fiable. Souvent, c'est le choix "Microsoft" qui est fait par défaut. Les raisons sont multiples, mais la principale est sans doute l'habitude et la peur du changement.

Le système d'information est faillible pour plusieurs raisons, mais la principale est la dépendance vis-à-vis d'un système non-évolué et la non-délivrance du code source (impossible d'étudier le programme et en l'occurence de l'adapter à ses besoins).
  • Ainsi, la plus récente version de Windows date de 2000. C'est un système d'exploitation lent, peu stable et dont les failles sont connus des hackers.
  • Non seulement sa suite bureautique est chère mais exposé aux multiples bogues.
  • D'autres logiciels comme le navigateur de Microsoft, Internet Explorer, exposent l'utilisateur à des risques réelles sur le Web.
  • Enfin, les antivirus propriétaires développer par des sociétés concurrentes sont toujours en retard vis-à-vis des virus élaborés.

Ce que je conseillerai à toute entreprise soucieuse de la protection de son système d'information, ce qui, en termes d'intelligence économique, représente son propre capital, est de migrer vers un environnement ouvert et évolutif. En un mot, le choix du libre par rapport au propriétaire.

Cette migration constitue déjà une bonne base. Reste le problème d'interopérabilité avec des logiciels d'entreprises propriétaires non prévues pour un environnement ouvert et évolutif. Également le coût d'adaptation pour le personnel de cette migration. C'est vraisemblablement un changement de culture qui s'opère. Mais, ces logiciels, rappelons-le, possèdent l'énorme avantage d'être gratuit !

Après, reste l'équipement de en logiciels spécialisés de haut niveaux malheureusement pas toujours compatibles. Dans tous les cas, l'audit de code, la rétro-ingénieurie, l'usage de la cryptographie et d'un système de détection des intrusion sont hautement conseillés.

Aucun commentaire: