Accueil
Envoyer
Imprimer
Partager
Nos sociétés modernes semblent avancer comme si un désastre lié à l’information était au-delà des limites de l’envisageable. Pourtant, l’actualité est truffée d’événements qui lui sont liés. Si leurs conséquences ont été certes moins désastreuses qu’un tsunami, elles révèlent l’importance grandissante de la sécurité de l’information.
Contrairement à une idée répandue, la sécurité de l’information n’est pas essentiellement d’ordre technique. Elle revêt souvent un aspect humain ou organisationnel. De manière générale, elle s’articule autour de trois types de pertes: perte de confidentialité, perte d’intégrité et perte de disponibilité. Perte de confidentialité: l’information est divulguée à des personnes non autorisées. Pour ne citer que les derniers exemples en date, cette notion peut être illustrée par le vol et la revente des noms de clients de banques suisses ou encore l’affaire Wikileaks.
Perte d’intégrité: l’information a été endommagée ou modifiée, altérant ainsi son exactitude ou son authenticité. Le cas d’Enron et ses manipulations comptables représente un bel exemple de ce type de situation. Plus récemment, on peut citer l’erreur médicale qui a conduit à l’irradiation du mauvais poumon d’un patient atteint d’un cancer. Perte de disponibilité: l’information n’est plus disponible par les personnes qui en avaient légitimement l’accès. Ce cas peut être illustré par les coupures d’accès internet en Egypte, en Lybie puis en Syrie qui ont nui à l’organisation de mouvements contestataires ou encore l’impossibilité d’accès aux services PayPal qui ont rendu vaine toute transaction sur Internet.
Si l’atteinte à la confidentialité ou à l’intégrité de l’information présente des conséquences notoires, elles restent pour autant maîtrisables. Une crise liée à la disponibilité de l’information, elle, paralyserait sans doute l’économie dans son ensemble.
Il y a seulement 10 ans, une coupure générale des réseaux d’information n’aurait causé que des dommages limités. Cependant, la plupart des entreprises (et des personnes) se sont aujourd’hui réorganisées autour de ces réseaux. Les anciens procédés, les anciens postes de travail et les anciennes machines ont disparus au profit d’un nouvel et vaste accès à l’information grâce à internet et via les technologies mobiles. De même, l’expansion du commerce en ligne est considérable. Moralité, une telle coupure aurait aujourd’hui des effets colossaux.
Il est par exemple envisageable de subir une crise liée à l’indisponibilité d’internet et des réseaux téléphoniques. Dans ce cas, les entreprises ne pourraient plus effectuer de paiements en ligne et, pour certaines, ne pourraient plus vendre. Les banques ne passeraient plus d’ordres de paiement, les industries ne pourraient plus passer leurs commandes, créant des ruptures de stocks. Les sociétés de services ne communiqueraient plus avec leurs clients et il serait impossible de retirer de l’argent dans les distributeurs automatiques. Dans de telles circonstances, tout le monde se dirigerait vers les guichets et réutiliseraient le bon vieux courrier. Ces solutions ne seraient malheureusement d’aucun secours dans la mesure où les entreprises ne sont plus équipées pour y répondre. Les PME comme les grandes entreprises sont exposées en permanence à ce risque, bien qu’inégales en termes de vulnérabilité. Si certaines pourraient parfaitement fonctionner plus d’une semaine , d’autres seraient bel et bien en danger après quelques heures.
Pour se préparer à de telles éventualités, les 150 pays membres de l’organisation ISO ont établi en 2005 un guide relatif à la sécurité de l’information: la norme ISO 27001. Cette méthode pragmatique permet aux entreprises privées comme aux établissements publics de se poser les bonnes questions et de mettre en oeuvre une approche systématique pour maîtriser les risques liés à l’information. Cette méthode très complète déclinée en 133 points de contrôles peut être résumée en trois étapes principales :
1) Identifier les différents types d’information utilisés par l’entreprise. 2) Identifier pour chaque information quel serait l’impact sur la perte d’accessibilité, d’intégrité ou de confidentialité.
3) Mettre en place les mesures de protection nécessaires et utiles. En 2009 (derniers résultats publiés par ISO) quelque 13.000 entreprises étaient certifiées ISO 27001 dans le monde, principalement des entreprises de services ou actives dans la technologie de l’information ainsi que des administrations publiques.
Dans le cadre de notre activité de diagnostic et de mise en oeuvre de systèmes de sécurité de l’information, nous notons cependant une prise de conscience croissante de la part des entreprises suisses. Elles ont pris conscience de leur vulnérabilité et se prémunissent ainsi d’un risque grandissant.
Les entreprises se sont réorganisées autour des nouvelles technologies de l’information et de la communication depuis une dizaine d’années déjà, à une vitesse telle que le phénomène n’est pas prêt de tarir. Corollaire de ce phénomène, elles sont plus que jamais menacées par les risques liés à la sécurité de l’information. Grâce à la norme ISO 27001 les entreprises disposent d’une approche pragmatique et systématique qui leur permet d’aborder de manière concrète et sereine la sécurité de l’information. Même si cette norme existe depuis 2005, elle prendra tout son sens dans les années à venir.
L’Agefi, quotidien de l’Agence économique et financière à Genève
www.agefi.com
Contrairement à une idée répandue, la sécurité de l’information n’est pas essentiellement d’ordre technique. Elle revêt souvent un aspect humain ou organisationnel. De manière générale, elle s’articule autour de trois types de pertes: perte de confidentialité, perte d’intégrité et perte de disponibilité. Perte de confidentialité: l’information est divulguée à des personnes non autorisées. Pour ne citer que les derniers exemples en date, cette notion peut être illustrée par le vol et la revente des noms de clients de banques suisses ou encore l’affaire Wikileaks.
Perte d’intégrité: l’information a été endommagée ou modifiée, altérant ainsi son exactitude ou son authenticité. Le cas d’Enron et ses manipulations comptables représente un bel exemple de ce type de situation. Plus récemment, on peut citer l’erreur médicale qui a conduit à l’irradiation du mauvais poumon d’un patient atteint d’un cancer. Perte de disponibilité: l’information n’est plus disponible par les personnes qui en avaient légitimement l’accès. Ce cas peut être illustré par les coupures d’accès internet en Egypte, en Lybie puis en Syrie qui ont nui à l’organisation de mouvements contestataires ou encore l’impossibilité d’accès aux services PayPal qui ont rendu vaine toute transaction sur Internet.
Si l’atteinte à la confidentialité ou à l’intégrité de l’information présente des conséquences notoires, elles restent pour autant maîtrisables. Une crise liée à la disponibilité de l’information, elle, paralyserait sans doute l’économie dans son ensemble.
Il y a seulement 10 ans, une coupure générale des réseaux d’information n’aurait causé que des dommages limités. Cependant, la plupart des entreprises (et des personnes) se sont aujourd’hui réorganisées autour de ces réseaux. Les anciens procédés, les anciens postes de travail et les anciennes machines ont disparus au profit d’un nouvel et vaste accès à l’information grâce à internet et via les technologies mobiles. De même, l’expansion du commerce en ligne est considérable. Moralité, une telle coupure aurait aujourd’hui des effets colossaux.
Il est par exemple envisageable de subir une crise liée à l’indisponibilité d’internet et des réseaux téléphoniques. Dans ce cas, les entreprises ne pourraient plus effectuer de paiements en ligne et, pour certaines, ne pourraient plus vendre. Les banques ne passeraient plus d’ordres de paiement, les industries ne pourraient plus passer leurs commandes, créant des ruptures de stocks. Les sociétés de services ne communiqueraient plus avec leurs clients et il serait impossible de retirer de l’argent dans les distributeurs automatiques. Dans de telles circonstances, tout le monde se dirigerait vers les guichets et réutiliseraient le bon vieux courrier. Ces solutions ne seraient malheureusement d’aucun secours dans la mesure où les entreprises ne sont plus équipées pour y répondre. Les PME comme les grandes entreprises sont exposées en permanence à ce risque, bien qu’inégales en termes de vulnérabilité. Si certaines pourraient parfaitement fonctionner plus d’une semaine , d’autres seraient bel et bien en danger après quelques heures.
Pour se préparer à de telles éventualités, les 150 pays membres de l’organisation ISO ont établi en 2005 un guide relatif à la sécurité de l’information: la norme ISO 27001. Cette méthode pragmatique permet aux entreprises privées comme aux établissements publics de se poser les bonnes questions et de mettre en oeuvre une approche systématique pour maîtriser les risques liés à l’information. Cette méthode très complète déclinée en 133 points de contrôles peut être résumée en trois étapes principales :
1) Identifier les différents types d’information utilisés par l’entreprise. 2) Identifier pour chaque information quel serait l’impact sur la perte d’accessibilité, d’intégrité ou de confidentialité.
3) Mettre en place les mesures de protection nécessaires et utiles. En 2009 (derniers résultats publiés par ISO) quelque 13.000 entreprises étaient certifiées ISO 27001 dans le monde, principalement des entreprises de services ou actives dans la technologie de l’information ainsi que des administrations publiques.
Dans le cadre de notre activité de diagnostic et de mise en oeuvre de systèmes de sécurité de l’information, nous notons cependant une prise de conscience croissante de la part des entreprises suisses. Elles ont pris conscience de leur vulnérabilité et se prémunissent ainsi d’un risque grandissant.
Les entreprises se sont réorganisées autour des nouvelles technologies de l’information et de la communication depuis une dizaine d’années déjà, à une vitesse telle que le phénomène n’est pas prêt de tarir. Corollaire de ce phénomène, elles sont plus que jamais menacées par les risques liés à la sécurité de l’information. Grâce à la norme ISO 27001 les entreprises disposent d’une approche pragmatique et systématique qui leur permet d’aborder de manière concrète et sereine la sécurité de l’information. Même si cette norme existe depuis 2005, elle prendra tout son sens dans les années à venir.
L’Agefi, quotidien de l’Agence économique et financière à Genève
www.agefi.com
