Sécurité des systèmes d’information

Sécurité des systèmes d’information : de la gestion des risques à la confiance numérique

Le renforcement récent des exigences réglementaires a mis en exergue les questions de sécurité des systèmes d’information. De nombreuses organisations définissent et mettent en œuvre des politiques de sécurité, parfois formalisées, parfois empiriques. Certaines se dotent de RSSI, responsables de la sécurité des systèmes d’information, qui ont pour rôle de maîtriser des risques technologiques, mais également de contribuer à améliorer la performance des processus métier. 

Les notions de gestion des risques informatiques, de sécurité et d’informatique de confiance sont étroitement liées. Les contours labiles de ces notions sont le reflet des divergences de pratiques entre des entreprises de secteurs, de culture, de taille et d’organisation différentes.

Cet article cherche à expliciter cette étroite imbrication, en définissant les notions de risques, de sécurité des systèmes d’information et de confiance numérique, afin de faire apparaître leurs déterminants respectifs, leurs objectifs et leurs enjeux pour les organisations.

La gestion des risques liés aux technologies de l’information

De façon générale, la gestion du risque consiste à coordonner, de façon continue, les activités visant à diriger et piloter une organisation vis-à-vis des risques. Il s’agit d’activités d’identification, d’analyse, d’évaluation et d’anticipation des risques, ainsi que de mise en place d’un système de surveillance et de collecte systématique des données pour déclencher les alertes. À ces activités d’appréciation et de traitement des risques, viennent s’ajouter des activités d’acceptation et de communication relative aux risques

Les SI au cœur de la gestion des risques

Parce que les organisations se structurent de plus en plus autour de leur SI, les SI sont au cœur de la gestion des risques d’entreprise. Ils sont à la fois source de risques et moyen de gestion des risques.

⇒ Les risques majeurs liés au SI sont les suivants :

• risque de défaillance, source majeure de risque opérationnel
• risque de pénétration de l’organisation par son SI (exemple : espionnage industriel),
• risque d’attaques extérieures

⇒ Le SI est aussi un moyen de gestion des risques. En effet, l’analyse, le suivi et le contrôle des risques reposent en grande partie sur l’accumulation ou la production d’informations. C’est par exemple le cas de la lutte contre le blanchiment d’argent, organisée essentiellement via les SI qui permettent de détecter des anomalies dans les transactions.

La maîtrise des risques repose en outre sur l’efficience des systèmes d’information. Les modèles d’anticipation et de simulation des risques (calculs stochastiques et techniques de simulation en finance notamment) utilisent des systèmes d’information sophistiqués.

⇒ La gouvernance du SI doit pouvoir aider à la maitrise des risques, c’est-à-dire chercher à préserver la valeur acquise par l'entreprise contre tous les écarts qui pourraient entrainer sa dépréciation ou sa destruction.