Présentation
Auteur(s)
-
Jean-Marc CHARTRES : Ingénieur CNAM - Consultant Sécurité chez TELINDUS France
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
À travers un cas concret de projet sécurité d’une entreprise, ce retour d’expérience permet d’illustrer l’importance d’une adaptation de la sécurité informatique afin de répondre aux nouvelles menaces qui pèsent sur nos systèmes d’information et de communication.
L’ouverture excessive des systèmes d’information a conduit les entreprises à contrôler les accès aux services de communication ; mais les nouvelles menaces informatiques ciblent désormais l’information, car une fois franchie la barrière d’accès, les données non structurées sont peu protégées. Il faut reprendre le processus de sécurité car il semble que nous ayons renoncé au contrôle sur les données, et nous devons, à partir d’une analyse des risques, définir une sécurité pour les données au repos, et assurer les fonctions d’usages sur les données en mouvement.
La mutation de nos systèmes d’information doit aboutir à une stratégie de sécurité sur les données sensibles en adéquation avec une stratégie de sécurité sur les échanges.
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
DOI (Digital Object Identifier)
Présentation
Partir de ses craintes pour protéger l’essentielArticle inclus dans l'offre
"Automatique et ingénierie système"
(138 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
3. La sécurité informatique n’est qu’un moyen pour aboutir à une sécurité de l’information
3.1 Les impacts redoutés par l’entreprise
Le système d’information est l’outil principal de toute entreprise ; il est le vecteur des métiers et permet aux activités de produire avec performance et conformité.
Un risque informatique va nuire à la disponibilité, la confidentialité ou l’intégrité d’un service informatique qui aura un impact sur l’activité. Cela va se traduire le plus souvent par un déficit financier, d’image, ou de conformité, voire de qualité, qu’il conviendra de préciser pour chaque type de risques informatiques.
L’analyse de risque doit établir cette relation de causes à effets et la graduer en impact redouté. Il est primordial de mener cette analyse comme une identification du processus de sécurité.
Cette phase permet d’établir le lien entre la menace, les vulnérabilités des systèmes, les risques éventuels et leurs impacts redoutés. Pour chaque type de menace, des domaines « causes et conséquences » peuvent être établis, afin de traduire la porosité du système.
Les impacts redoutés pourront alors être étudiés afin d’être évités, s’il est possible d’annuler l’équation
Menace + Vulnérabilités = Risque
ou de la diminuer par une politique de sécurité qui veillera à prévenir les actifs IT.
Cette phase d’identification doit également être poursuivie pour déterminer les besoins de surveillance et de contrôle de l’impact redouté. Pour chacun d’entre eux, il doit exister une famille d’événements afin d’assurer détection, action et contrôle.
La non-réalisation du risque, à savoir l’impact redouté, représente le véritable objectif du management des risques ; c’est par un traitement efficace et cohérent de toutes les variables qu’il pourra être atteint.
L’identification de toutes les variables contributives au risque, et notamment leur corrélation, est toujours imparfaite ; mais si elle s’établit sur des informations de surveillance, de contrôles et de mesures, alors nous pourrons disposer d’un état propice ou non aux risques, nous permettant d’envisager une réaction possible.
Parce que nous craignons le vol, nous disposons d’un coffre pour nos objets de valeur et d’une alarme pour nous prévenir. C’est l’adéquation...
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
La sécurité informatique n’est qu’un moyen pour aboutir à une sécurité de l’information
Article inclus dans l'offre
"Automatique et ingénierie système"
(138 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
DANS NOS BASES DOCUMENTAIRES
ANNEXES
EBIOS – Logiciel d’analyse de risques
EBIOS 2010 – Expression des besoins et identification des objectifs de sécurité
CLUSIF | MEHARI
MEHARI une méthode complète d'évaluation et de management des risques liés à… est réalisée selon les dispositions du logiciel libre (Open Source)
http://www.clusif.asso.fr/fr/production/mehari/
HAUT DE PAGE
CLUSIF – Club de la Sécurité de l'Information Français
...
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Automatique et ingénierie système"
(138 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
