PRÉSENTATION
CONDUITE D'UNE VEILLE
DEMARCHE QUALITE
TRAVAIL EN MODE PROJET
DEMARCHE DE GESTION DES RISQUES
GESTION DES RISQUES FINANCIERS
PARTIE 7 - GESTION DES RISQUES NON FINANCIERS

SECTION 4 – Les utilisateurs et la sécurité informatique

Les utilisateurs constituent un maillon essentiel en matière de sécurité informatique. Sensibilisés et formés, ils contribuent directement à la sécurité informatique en évitant la concrétisation de certains risques. À l’inverse, en l’absence de prise en compte de la sécurité informatique (par négligence ou ignorance), ils peuvent être à l’origine d’erreurs ou de maladresses susceptibles d’engendrer des pertes de données ou de paralyser le système informatique et, par conséquent, le fonctionnement de l’entreprise.

4.1 L’authentification des utilisateurs

L’authentification des utilisateurs, grâce au serveur d’authentification, est un préalable indispensable. Elle est le plus souvent réalisée grâce à un couple identifiant/mot de passe, et parfois à d’autres moyens tels que des cartes à puce ou le recours à la biométrie.

Cette authentification, qui permet d’attribuer les autorisations adaptées, est prédéfinie pour chaque utilisateur. L’accès aux ressources peut donc être différencié pour chacun.

Il est également possible de créer des groupes d’utilisateurs afin de faciliter la gestion des profils similaires. Dans ce cas, l’appartenance à un groupe d’utilisateurs permet d’hériter des autorisations d’accès définies pour ce groupe.

Exemple : sur les ressources, mais également sur les postes de travail, on distingue souvent les groupes d’utilisateurs, qui disposent d’autorisations limitées, et le groupe des administrateurs, qui disposent de droits plus étendus. Les mots de passe des utilisateurs doivent rester strictement confidentiels, être conservés de façon sécurisée et modifiés régulièrement. Ils doivent également être suffisamment complexes en mélangeant chiffres, lettres, caractères spéciaux et casses différentes.

4.2 Les droits d’accès aux données

Grâce au réseau informatique et à l’authentification des utilisateurs, il est possible de paramétrer finement les droits d’accès associés aux ressources. Pour les fichiers et les dossiers, on distingue principalement les droits d’accès suivants :

  • le droit en lecture seule permet d’accéder au fichier ou au dossier sans modification possible (seule la consultation est autorisée) ;
  • le droit en lecture/écriture permet la modification et la suppression ;
  • le droit d’exécution est particulier car il est essentiellement associé aux logiciels qui peuvent être lancés par l’utilisateur.

Si un droit d’accès n’est pas explicitement défini, l’utilisateur ne peut exploiter la ressource concernée.

4.3 Les droits d’accès aux applications

De la même façon qu’une authentification initiale est nécessaire pour accéder aux ressources partagées sur le réseau, il est possible de demander aux utilisateurs de s’authentifier lors de l’accès à certaines applications.

Exemple : lors du lancement du PGI, les identifiants de l’utilisateur spécifiques à cette application sont demandés. Ils sont différents de ceux d’autres applications.

Il est aussi possible de paramétrer les droits associés aux utilisateurs dans les applications elles-mêmes lorsqu’elles sont multi-utilisateurs.

On pourra, de la même façon, restreindre l’accès aux seuls modules du PGI nécessaires au poste occupé par le salarié.

4.4 Le rôle de l’administrateur

Un administrateur est un utilisateur particulier qui dispose de privilèges, c’est-à-dire de droits étendus ou de l’ensemble des droits associés à une ressource (système d’exploitation d’un serveur, application). Il peut être en charge de la gestion des utilisateurs (création, suppression, gestion de leurs droits) et du maintien du bon fonctionnement du réseau et des ressources proposées, éventuellement en collaboration avec un prestataire de services informatiques.

4.5 L’importance de la sensibilisation en matière de sécurité

La sensibilisation des utilisateurs peut prendre différentes formes :

  • communiquer via un affichage, des messages électroniques ou des supports en présentant les principaux risques et les bonnes pratiques à mettre en œuvre ;
  • former soit en interne, soit en recourant à un organisme spécialisé susceptible de mettre en œuvre des outils de communication pertinents (tests, jeux, séminaires…) ;
  • recourir à un audit réalisé par un prestataire, qui évaluera notamment comment réagissent les salariés dans certaines situations, en effectuant des mises en situation.

L’existence d’une charte d’utilisation du système d’information qui recense les règles de bon comportement lors de l’usage des moyens informatiques associés (dimension technologique du SI) peut également jouer un rôle prépondérant. Cette charte peut, par exemple, comporter des préconisations en matière :

  • d’usage des ressources : utiliser et ne jamais communiquer ses mots de passe, ne pas contourner les dispositifs de sécurité, respecter les règles de sécurité, ne pas exploiter une éventuelle faille de sécurité dans le SI, faire preuve de vigilance… ;
  • de protection de l’information : assurer la confidentialité des informations, faire preuve de discrétion, utiliser les outils adéquats, ne pas contourner les restrictions en place… ;
  • de respect de la législation : ne pas porter atteinte au fonctionnement du SI, effectuer des copies illégales de certains logiciels…

SECTION 4 – Les utilisateurs et la sécurité informatique