PRÉSENTATION
CONDUITE D'UNE VEILLE
DEMARCHE QUALITE
TRAVAIL EN MODE PROJET
DEMARCHE DE GESTION DES RISQUES
GESTION DES RISQUES FINANCIERS
PARTIE 7 - GESTION DES RISQUES NON FINANCIERS

SECTION 3 – Gestion des risques informatiques

3.1 Les fondements CID de la sécurité informatique

Le principe même de la sécurité informatique repose sur 3 fondements mémorisés sous l’acronyme CID ou – sans mauvais jeu de mots : CIA en anglais : confidentialité, intégrité et/ou disponibilité. Et ils sont, depuis toujours, les principaux objectifs de tout projet de sécurité informatique.

Au fur et à mesure que le domaine gagnait en maturité, les concepts de non-répudiation et d’authentification et traçabilité sont également venus s’y ajouter.

3.2 Les principes CID

3.2.1 Assurer la confidentialité de l’information et de la communication

Avec l’objectif de confidentialité, il s’agit de rendre l’information et la communication inintelligibles à toute personne et système externes à celle-ci.

Ainsi, seules les personnes autorisées doivent être en mesure de lire le contenu des données ou de participer à la communication réseau concernée. Et, un exemple concret est le chiffrement d’un fichier stocké sur un système de fichiers. Seules les personnes possédant la clé privée, permettant le déchiffrement, pourront accéder au contenu du fichier.

3.2.2 Intégrité des données

Elle consiste à s’assurer que les données ne soient pas altérées durant la communication, que cela soit fait intentionnellement ou non. Le principe de la signature des emails à l’aide d’un certificat électronique représente bien ce principe. Si un e-mail a été altéré après avoir été signé, le destinataire de celui-ci verra une alerte s’afficher lorsqu’il l’ouvrira dans son client de messagerie.

3.2.3 Assurer la disponibilité SI

Cet objectif porte sur l’accès à un service, à une application, au réseau ou à une donnée à tout temps en fonction des besoins. Il donc est inhérent aux principes de sauvegarde, de haute disponibilité et de mise en place d’un plan de continuité (BCP ou DRP en anglais). D’où l’importance des dispositifs de sécurité afin de garantir cette disponibilité des installations.

3.3 L’authentification et traçabilité

l’authentification consiste à s’assurer que seules les personnes dûment autorisées aient accès aux données et/ou aux ressources souhaitées. Le but étant d’identifier de manière unique et sans équivoque qu’un individu est bien celui qu’il prétend être. Nous retrouvons ici des concepts d’authentification forte (ou à double facteur), de biométrie et de PKI.

3.4 La non- répudiation

Elle a pour objectif de s’assurer que l’émetteur d’une information ne puisse pas nier qu’il est bien à l’origine de celle-ci. Un exemple très concret est la signature d’un e-mail, d’un document ou d’un certificat. Seule la personne possédant la clé privée correspondant à la signature, déposée sur un e-mail, serait en mesure d’émettre cet e-mail signé. Il ne lui est donc pas possible de nier en être l’émetteur, sauf dans le cas où il aurait partagé cette clé privée (censée être personnelle) à un tiers.

SECTION 3 – Gestion des risques informatiques