Les entreprises et les organisations vivent perpétuellement dans un monde de risques informatiques

Réponse à la question 1

Les entreprises et les organisations vivent perpétuellement dans un monde de risques informatiques. Pour garantir la bonne continuité de leurs opérations, il leur incombe de prendre des moyens efficaces pour tenter d'éliminer ces risques, ou du moins de les réduire à un seuil acceptable. Pour y arriver, l'organisation doit commencer par observer et considérer les comportements des usagers en lien avec les différentes infrastructures informatiques, la façon que ces usagers accèdent aux ressources TI (Technologies de l'information) et également de connaître les conséquences possibles à certains événements techniques.

La façon dont les humains se comportent avec les TI démontre déjà bien à une organisation qu'elle doit adopter certaines mesures de sécurité. Premièrement, plusieurs utilisateurs peuvent poser de nombreux problèmes de sécurité sur leur station de travail de façon inconsciente. Par exemple, certains vont naviguer sur l'Internet et vont cliquer sur des liens inconnus ou encore à partir de leur messagerie électronique, ils vont cliquer sur des pièces jointes à première vue inoffensives. Cependant, à la suite de ces actions, des virus ou des programmes informatiques malveillants peuvent s'introduirent sur leur ordinateur et ainsi causer des destructions de données, autant locales que sur les partages réseaux, ou encore mettre leur ordinateur hors fonction parce qu'un programme malveillant a détruit la partition de démarrage système. De plus, la maladresse des utilisateurs (et même des informaticiens) peut entraîner aussi des problèmes de sécurité, comme par exemple la destruction non intentionnelle de données réseaux d'un client ou du département financier. Sans mécanisme de sécurité approprié, ces données peuvent être perdues à jamais. Par ailleurs la malveillance de certaines personnes, qu'elles fassent parties ou non de l'organisation, peut entraîner de sérieux ennuis à cette dernière. Une personne pourrait détruire délibérément des données cruciales de l'entreprise ou encore introduire des programmes qui pourraient endommager les infrastructures logiques et physiques.

Les événements d'ordre technique sont tous aussi importants à considérer. Des erreurs de logiciels ou de systèmes d'exploitation peuvent entraîner de graves conséquences à l'organisation. Par exemple, une mise à jour d'un programme donné a pour but de corriger des problèmes, cependant l'application du correctif en question entraîne finalement un autre problème plus grave et rend le logiciel inopérant. Tout comme un nouveau correctif appliqué au système d'exploitation pourrait empêcher un usager de bien démarrer son système et ainsi l'empêcher de travailler. De même que la propagation de virus informatiques sur des serveurs de l'organisation, rendant alors les systèmes inopérants. Par ailleurs, des accidents peuvent survenir comme des pannes de serveurs causées par des bris de composantes informatiques (disques durs défectueux ou panne d'alimentation). Un incendie ou un dégât d'eau considérable pourrait ravager une partie des infrastructures physiques ou des données.

Finalement, des attaques réseaux (par exemple une attaque par déni de service) peuvent rapidement rendre un réseau inutilisable et ainsi empêcher les usagers de travailler ou encore empêcher les utilisateurs ou clients externes d'accéder aux ressources de l'organisation.

Les différents risques humains et les événements techniques démontrent clairement à l'organisation qu'elle doit mettre en place des règles de sécurité. Ces mécanismes vont lui permettre de diminuer considérablement ces risques et ainsi continuer ses activités avec le moins d'impacts possibles sur la performance de ses utilisateurs et de ses systèmes informatiques. Mais l'organisation devra bien comprendre que toutes ces mesures de sécurité ne la rendra pas invulnérable, car malgré ces mesures, certains problèmes pourraient tout de même survenir. Cependant des mécanismes prévus pourront lui permettre de rétablir la situation plus rapidement.

Bibliographie:

Gouvernement du Canada (2014). Sécurité informatique. http://www.canadabusiness.ca/fra/page/2654

Del Duca, Jérôme (2012). La sécurité informatique en mode projet : organisez la sécurité du SI de votre entreprise. France. Editions Eni

Smith, Richard E (2013). Elementary information security. États-Unis. Jones & Bartlett Learning

St-Herblain : Éditions ENI (2012). Sécurité informatique : ethical hacking : apprendre l'attaque pour mieux se défendre

Réponse à la question 2

Dans une organisation, l'évaluation des coûts versus les risques seront déterminés en fonction de la gravité des conséquences liées aux facteurs de risques humains et techniques. L'organisation doit commencer par identifier et détailler les risques, et leur attribuer des priorités. Cette tâche demande la participation de plusieurs intervenants au sein de l'organisation comprenant non seulement les responsables informatiques mais aussi les utilisateurs. Plus les différents éléments de l'organisation seront analysés et considérés et plus les résultats de l'analyse pourront guider les dirigeants à évaluer les coûts des futures règles de sécurité. Les intervenants de l'organisation devront se poser plusieurs questions sur les éléments suivants:

Sécurité des données

Qu'arriverait-t-il si des données sensibles à l'organisation étaient effacées accidentellement par des utilisateurs ou de façon intentionnelle par des personnes malveillantes? Savoir que ces données ne pourraient être restaurées pourraient causer par exemple des insatisfactions importantes de la part des utilisateurs ou des clients si ces données sont les leurs. Dans ce cas, le coût d'un système fiable de sauvegardes des données serait à prévoir, pour permettre la restauration de données supprimées au moment voulu. L'évaluation du coût d'un tel système dépendra de la quantité de données à sauvegarder et il faudra également multiplier cette quantité de sorte que l'organisation puisse garder plusieurs générations de copies de ces données.

...