Sécurité des systèmes d information : de la gestion des risques à la confiance numérique



Documents pareils
Prestations d audit et de conseil 2015

Qu est-ce qu un système d Information? 1

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Table des matières. Partie I CobiT et la gouvernance TI

Sécurité des Systèmes d Information

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

JOURNÉE THÉMATIQUE SUR LES RISQUES

Université de Lausanne

L analyse de risques avec MEHARI

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

TABLE DES MATIÈRES. Les auteurs. Préface par Walter Deffaa. Préface par André Kilesse

curité des TI : Comment accroître votre niveau de curité

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Panorama général des normes et outils d audit. François VERGEZ AFAI

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION

Les modules SI5 et PPE2

ITIL. optimal. pour un service informatique. 2 e édition C H R I S T I A N D U M O N T. Préface de Patrick Abad

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Formation «Système de gestion des documents d activité (SGDA)»

LE suivi de l efficacité des systèmes de contrôle interne et de gestion des risques

la conformité LES PRINCIPES D ACTION

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

INDICATIONS DE CORRECTION

Les nouveaux tableaux de bord des managers

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Stratégie nationale en matière de cyber sécurité

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Les nouveaux tableaux de bord des managers

Sécurité informatique: introduction

Le management des risques de l entreprise Cadre de Référence. Synthèse

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Identification, évaluation et gestion des incidents

Charte de Qualité sur l assurance vie

Charte de contrôle interne

Sigma Consulting est un cabinet conseil spécialisé en management des organisations. Le Management en mode projet..2

Management de la sécurité des technologies de l information

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

L hygiène informatique en entreprise Quelques recommandations simples

Politique de sécurité de l information

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

ISO conformité, oui. Certification?

27 mars Sécurité ECNi. Présentation de la démarche sécurité

La politique de sécurité

Excellence. Technicité. Sagesse

Gestion des Incidents SSI

I partie : diagnostic et proposition de solutions

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

La gestion des risques en entreprise de nouvelles dimensions

3/ Caractéristiques ET leçons essentielles de la communication de crise. 3 A/ Les caractéristiques de la communication de crise 22/11/2014

Politique de sécurité de l actif informationnel

SPECIALISATIONS DU MASTER GRANDE ECOLE

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Gestion des incidents

politique de la France en matière de cybersécurité

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)


La sécurité dans les grilles

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Repères Gérer la capacité

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

BTS Comptabilité et Gestion SOMMAIRE

Des modules adaptés aux réalités des métiers de la sécurité de l information

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

s é c u r i t é Conférence animée par Christophe Blanchot

Les ressources numériques

THEORIE ET CAS PRATIQUES

Modèle Cobit

Sommaire Préface...XV Introduction générale... XVII Introduction à la 2e édition... XXI Définir le tableau de bord...1

«Audit Informatique»

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Politique de Sécurité des Systèmes d Information

HySIO : l infogérance hybride avec le cloud sécurisé

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

2012 / Excellence. Technicité. Sagesse

Club ISO Juin 2009

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

La pratique. Elaborer un catalogue de services

Groupe Eyrolles, 2006, ISBN :

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

Présentation à l EIFR. 25 mars 2014

Baromètre du Risk Management 2006

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

fondé par Jeudi 15 février 2007 de 14 h à 18h

Transcription:

Sécurité des systèmes d information : de la gestion des risques à la confiance numérique Le renforcement récent des exigences réglementaires a mis en exergue les questions de sécurité des systèmes d information. De nombreuses organisations définissent et mettent en œuvre des politiques de sécurité, parfois formalisées, parfois empiriques. Certaines se dotent de RSSI, responsables de la sécurité des systèmes d information, qui ont pour rôle de maîtriser les risques technologiques, mais également de contribuer à améliorer la performance des processus métier. Les notions de gestion des risques informatiques, de sécurité et d informatique de confiance sont étroitement liées. Les contours labiles de ces notions sont le reflet des divergences de pratiques entre des entreprises de secteurs, de culture, de taille et d organisation différentes. Cet article cherche à expliciter cette étroite imbrication, en définissant les notions de risques, de sécurité des systèmes d information et de confiance numérique, afin de faire apparaître leurs déterminants respectifs, leurs objectifs et leurs enjeux pour les organisations. Risques et gestion des risques Le risque et la prise de risque font partie intégrante de la vie de l organisation et de son développement. Définition et typologies des risques Un risque est un danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité. Le risque est défini juridiquement comme l «éventualité d'un événement futur, incertain ou d'un terme indéterminé ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage». Les risques sont souvent décrits par type afin d en faciliter la classification et l analyse. De nombreux types de risques existent, ainsi que diverses classifications en catégories et souscatégories propres à chaque domaine d'activité et / ou profession. Dans la 6 ème édition du baromètre du Risk Management i (Protiviti et TNS Sofres), les risques sont classés selon leur nature dans l une des trois catégories suivantes : les risques externes, liés à l environnement de l entreprise, son activité, son marché, ses concurrents, les réglementations, etc. les risques internes, liés à l organisation de l entreprise, son management, ses processus, ses systèmes d information, etc. les risques de pilotage liés aux informations nécessaires pour prendre les bonnes décisions : reporting financier, tableaux de bord, etc. Il est intéressant de noter que le classement 2009 des cinq risques majeurs de ce baromètre est totalement modifié par rapport aux classements des précédentes années, où l insatisfaction client, les systèmes d information et l image de marque étaient identifiés comme les risques majeurs auxquels les entreprises étaient confrontées. Dans le cadre du baromètre 2009, seul le risque lié aux concurrents demeure dans le classement des cinq risques majeurs, aux côtés des risques liés au marché et ses évolutions, des risques liés aux marchés financiers, des risques de change, taux et matières premières, et des risques de crédit et de contrepartie. Educnet Economie&Gestion Rubrique Systèmes d Information - 1

Dans ce classement 2009, on retrouve uniquement des risques externes ou des risques internes liés à des contreparties externes. C est un changement radical par rapport aux cinq éditions précédentes. Seules les entreprises du secteur des Services se démarquent en positionnant les risques liés aux innovations technologiques et à l environnement juridique comme majeurs dans leur secteur. Ce constat met en évidence que la perception du risque est un phénomène subjectif fortement lié à la façon qu'ont les organisations d appréhender une situation dans un environnement donné. Dans les entreprises, la typologie est une des étapes de l analyse du risque : la typologie des risques permet de classer les risques en classes homogènes, pour mieux guider leur analyse. Pour un projet, on peut par exemple classer un risque dans l une des cinq grandes familles suivantes : risque organisationnel, risque technique, risque financier, risque humain, risque juridique. Au niveau de l organisation, on peut classer les risques en fonction de leur domaine de gestion (risques stratégiques, risques opérationnels, risques projets ), ou de leur nature (risques produits, risques sociaux, risques TI, risques produits). Si la notion générale de risque peut être définie, cela est plus délicat dès qu on cherche à définir ses éléments constitutifs, nécessaires à l identification et à l évaluation d un risque. Le Club de la Sécurité de l'information Français (CLUSIF) a produit un dossier technique ii (mis à jour en janvier 2009), qui classe les définitions du risque en deux grandes catégories : - définitions du risque basées sur la notion de menace, associée ou non à des vulnérabilités. Remarque : une menace correspond à un type d action bien identifié qui, dans l absolu, peut nuire. Une vulnérabilité correspond au niveau d exposition face à la menace, dans un contexte particulier. Ce type de définition (risque = menace + vulnérabilité) correspond à une vision «statique» des risques. En effet, les éléments pris en compte ne font pas intervenir la variable temps et ne permettent donc pas de décrire les enchaînements d évènements, de causes et de conséquences. - définitions du risque basées sur des scénarios. Elles conduisent à décrire des «situations de risque» décrivant à la fois le dommage subi et les circonstances dans lesquelles se produit ce dommage. On privilégie ici sur une vision dynamique des risques dans laquelle le temps peut être pris en compte, permettant de prévoir des actions différenciées en fonction des phases de scénario de risque. Parmi les différents types de risques iii, les risques liés à l information ont des caractéristiques propres. Leurs facteurs sont de plusieurs ordres : - technologique : dysfonctionnement d un composant dans une infrastructure technique ou applicative, pouvant perturber la fourniture d un service, entraîner la perte de confidentialité d une information ou nuire à l intégrité du patrimoine informationnel de l organisation, - humain : criminalité informatique, intrusion, espionnage industriel, erreurs humaines dans le choix ou l usage d une solution informatique, - risques naturels, essentiellement climatiques : chaleur/froid, inondations. La gestion des risques liés aux technologies de l information De façon générale, la gestion du risque consiste à coordonner, de façon continue, les activités visant à diriger et piloter une organisation vis-à-vis des risques. Il s agit d activités d identification, d analyse, d évaluation et d anticipation des risques, ainsi que de mise en place d un système de surveillance et de collecte systématique des données pour déclencher les alertes. À ces activités d appréciation et de traitement des risques, viennent s ajouter des activités d acceptation et de communication relative aux risques. iv Educnet Economie&Gestion Rubrique Systèmes d Information - 2

Les technologies de l information (TI) sont un axe particulier de la gestion des risques. Une gestion des risques liés aux TI doit permettre d assurer la disponibilité, l intégrité, la confidentialité des données de l organisation v ainsi que la preuve et le contrôle. Si les risques liés aux TI peuvent (et doivent?) être traités avec la même démarche que les autres risques (risques produits, risques sociaux, risques financiers), ils doivent cependant être analysés et gérés sur la base d une collaboration étroite avec les directions métiers de l entreprise. En effet, le risque lié aux TI se distingue par la criticité de son impact : là où un risque lié à la qualité d un produit par exemple a des conséquences (parfois lourdes mais diffuses) sur l entreprise, un problème sur l infrastructure a des retombées immédiates et parfois brutales sur l activité courante de l organisation. Les risques liés aux TI sont donc particulièrement sensibles. Il existe de multiples méthodes de gestion et d analyse de risques informatiques. Parmi elles : MARION (Méthodologie d'analyse de Risques Informatiques Orientée par Niveaux), mise au point par le CLUSIF dans les années 80; MEHARI (MEthode Harmonisée d'analyse de RIsques) https://www.clusif.asso.fr/fr/production/mehari/. Née en 1996, cette méthode a également été mise au point par le CLUSIF, qui a invité les utilisateurs de la méthode MARION à migrer vers MEHARI. MEHARI se place dans une approche système d information en fournissant un cadre méthodologique, des outils et des bases de connaissance pour analyser les enjeux majeurs et étudier les vulnérabilités, réduire la gravité des risques et piloter la sécurité de l information. EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) http://www.ssi.gouv.fr/archive/fr/confiance/ebiospresentation.html est une méthode, préconisée actuellement dans l administration française. Publiée par la DCSSI vi, elle est constituée de plusieurs guides et repose sur la prise en compte de besoins en sécurité du système d information. À côté de ces méthodes d analyse des risques, il existe une famille de normes ISO (2000x) qui définit un certain nombre de critères pour l appréciation du risque lié aux technologies de l information. En particulier, la norme ISO 20005, publiée en 2009, fait une description développée des exigences en termes de gestion des risques liés à la sécurité de l information. ISO 20005 n a cependant pas pour finalité de remplacer les méthodes d évaluation des risques qui ont une portée plus large que la norme, en s intéressant au recensement des actifs dits «sensibles», à l identification et à l analyse des menaces et vulnérabilités, au pilotage en fonction de scénarios, ainsi qu à l acceptation des risques. Les critères ISO 20005 ne constituent donc pas une méthode d analyse à part entière, mais ils orientent les évolutions des méthodes existantes qui doivent être présentées en conformité à ISO 20005. Les SI au cœur de la gestion des risques Parce que les organisations se structurent de plus en plus autour de leur SI, les SI sont au cœur de la gestion des risques d entreprise. Ils sont à la fois source de risques et moyen de gestion des risques. Les risques majeurs liés au SI sont les suivants : - risque de défaillance, source majeure de risque opérationnel - risque de pénétration de l organisation par son SI (exemple : espionnage industriel), - risque d attaques extérieures Educnet Economie&Gestion Rubrique Systèmes d Information - 3

Le SI est aussi un moyen de gestion des risques. En effet, l analyse, le suivi et le contrôle des risques reposent en grande partie sur l accumulation ou la production d informations. C est par exemple le cas de la lutte contre le blanchiment d argent, organisée essentiellement via les SI qui permettent de détecter des anomalies dans les transactions. La maîtrise des risques repose en outre sur l efficience des systèmes d information. Les modèles d anticipation et de simulation des risques (calculs stochastiques et techniques de simulation en finance notamment) utilisent des systèmes d information sophistiqués. La gouvernance du SI doit pouvoir aider à la maitrise des risques, c est-à-dire chercher à préserver la valeur acquise par l'entreprise contre tous les écarts qui pourraient entrainer sa dépréciation ou sa destruction. Là encore, divers outils, complémentaires de la gouvernance des SI, existent : - CobiT est un référentiel de gouvernance du SI, publié par l ISACA vii, qui vise à garantir l alignement des TI avec les objectifs commerciaux, l utilisation responsable de leurs ressources, et la gestion adéquate de leurs risques. - ValIT est un référentiel basé sur CobiT, qui explique comment une entreprise peut tirer la meilleure valeur possible de ses investissements informatiques. Il est structuré en trois processus : gouvernance de la valeur, gestion de portefeuille/gestion de l investissement et en pratique, clés de management des SI. - Risk IT est un nouveau (édition prévue à l automne 2009) référentiel portant sur les risques IT, édité par l AFAI viii (qui est le chapitre français de l ISACA). Ce référentiel décrit les bonnes pratiques, au niveau du SI, liées à la préservation de la valeur de l entreprise. Il s appuie sur le référentiel COBIT, mais il prend en compte les enjeux du management associé au système d information alors que CobiT reste centré sur le SI. Sécurité des SI Gestion des risques liés aux TI ou sécurité du SI? La sécurité du système d information est souvent définie à partir de quatre critères fondamentaux de la valeur d une information (DICP ix ). : - la disponibilité (D), en termes de délais et de performance, - l intégrité (I), à savoir l exactitude et l exhaustivité de l information, non modifiée par des tiers non autorisés - la confidentialité (C) : l information doit être accessible uniquement aux tiers autorisés, - la preuve/contrôle (P), c est-à-dire à la fois la non-répudiation (impossibilité pour un acteur de nier avoir reçu ou émis l information) et l «auditabilité» de l information (possibilité de contrôler le bon déroulement du processus ayant permis d obtenir l information). En réalité, ces critères doivent être pris en compte en termes de gestion des risques induits. Exprimer un risque consiste à décrire son incidence et sa probabilité. La gestion des risques est un domaine stratégique de la gouvernance des SI. L analyse et la gestion des risques permettent d identifier des objectifs de sécurité. Ceux-ci visent à protéger les actifs de valeur (c est-à-dire les données ou les informations stockées, traitées, Educnet Economie&Gestion Rubrique Systèmes d Information - 4

partagées, transmises ou extraites à partir d'un support électronique) contre les menaces qui conduisent à leur perte, leur inaccessibilité, leur altération ou une divulgation inappropriée. Le concept de sécurité peut donc se résumer à l objectif de sécurité : «la sécurité des systèmes d'information a pour objectif de protéger les intérêts de ceux qui dépendent des systèmes d'information et de communication qui délivrent l'information, contre les préjudices imputables à des défauts de disponibilité, de confidentialité, et d'intégrité x». La sécurité des SI se situe donc au niveau opérationnel et tactique, en réponse aux risques identifiés au niveau stratégique. Les approches de la sécurité du SI La sécurité est souvent abordée sous des aspects techniques. Pour éviter des défauts de disponibilité, de confidentialité, d'intégrité et de preuve liés à des risques identifiés, il est en effet possible de mettre en place une batterie d outils spécifiques, tels que des mesures de sécurité physique, des contrôles de base, l identification des utilisateurs, des techniques biométriques, des pare-feu etc. Ces parades sont organisées en couches et sont tout autant techniques que non-techniques. Un parefeu par exemple peut désigner un pare-feu humain xi, c est-à-dire l ensemble de comportements du personnel face aux risques. La sécurité des échanges passe notamment par un ensemble de techniques bien identifiées : - la cryptographie xii désigne l ensemble des techniques permettant de chiffrer des messages, les rendant ainsi inintelligibles sauf par le destinataire capable de le déchiffrer par une action spécifique. Il existe des algorithmes de cryptographie asymétrique à clé publique et à clé privée. La cryptographie permet d assurer la confidentialité des données échangées. - le hachage permet d assurer l intégrité des informations échangées, en vérifiant la non altération des données au cours de l échange. Une fonction de hachage calcule, à partir de la donnée entrée, une «empreinte» (condensé représentant l information envoyée) comparée à l arrivée à la donnée reçue. - les contrôles d accès permettent l authentification des utilisateurs. Ils peuvent se faire par un mot de passe, une carte à puce, une clé, ou encore un élément biométrique. - la signature électronique permet non seulement d assurer l authentification de l expéditeur et de vérifier l intégrité du message reçu mais également de garantir sa non-répudiation (garantie que les acteurs de l échange ne peuvent nier avoir effectué la transaction). Plusieurs solutions technologiques permettent de signer électroniquement : logiciel installé sur le DD, carte à puce ou clé USB avec code secret Plus que technique, la signature électronique s inscrit dans un paradigme où les bases juridiques sont essentielles. - les certificats numériques et tiers de confiance : les certificats numériques permettent de compléter le dispositif de clé d authentification afin de prouver que la clé utilisée par une entité (machine ou personne) est bien celle de l utilisateur à laquelle elle est associée. Pour cela, il est possible d obtenir un certificat numérique auprès d un organisme de certification. xiii Les approches méthodologiques en SSI ont évolué depuis quelques années, passant progressivement d une sécurité «périmétrique» (constitution de «remparts» au moyen de dispositifs techniques permettant de protéger des machines et des équipements) à une sécurité abordée de Educnet Economie&Gestion Rubrique Systèmes d Information - 5

façon plus élargie, permettant la poursuite de l activité, même en mode dégradé, après interruption des services ou détérioration des machines. La sécurité n est plus considérée comme un «état» mais comme un processus qui se répare et s améliore en permanence. La sécurité du SI fait appel à des solutions techniques mais également à la mise en place rigoureuse d une organisation adaptée aux objectifs recherchés. Cela passe par des mesures de sensibilisation, de formation des utilisateurs, ainsi que par l expression de règles clairement définies. La SSI, c est donc la sécurité du système informatique mais aussi la prise en charge des aspects patrimoniaux du SI, afin que les utilisateurs puissent utiliser le SI en toute confiance. Le besoin de maintenir l intégrité de l information et de protéger les actifs informatiques exige un processus de gestion de la sécurité. Ce processus comporte la mise en place (et la maintenance) de rôles et de responsabilités, de politiques, de plans et procédures informatiques. La gestion de la sécurité implique aussi sa surveillance, des tests et des actions correctives lors d incidents ou de découverte de failles. Une gestion efficace de la sécurité protège tous les actifs informatiques pour réduire le plus possible les conséquences de vulnérabilités et d incidents.qui lui seraient liés. Le CIGREF définit la protection de l information xiv de la façon suivante : «La protection de l information est une démarche consciente visant à protéger, au sein de l entreprise étendue, ce qui vaut la peine d être protégé, tant au niveau des données que des supports d information. Cette démarche implique un système de gestion, une identification des informations sensibles, une analyse de risques, des acteurs, avec des rôles et responsabilités et un programme de réduction des risques.» Les acteurs de la sécurité La sécurité du patrimoine informationnel repose également sur le repérage des rôles et responsabilités des différents acteurs de la SSI. Aux côtés de la DSI et des utilisateurs du système d information, le RSSI - responsable de la sécurité du système d information - a une place toute particulière. Selon le CIGREF, le RSSI assure «un rôle de conseil, d assistance, d information, d alerte et de préconisation. Il peut intervenir directement sur tout ou partie des systèmes informatiques et télécoms de son entité. Il effectue un travail de veille technologique et réglementaire sur son domaine et propose des évolutions qu il juge nécessaires pour garantir la sécurité logique et physique du système d information dans son ensemble. Il est l interface reconnue des exploitants et des chefs de projets mais aussi des experts et des intervenants extérieurs pour les problématiques de sécurité de tout ou partie du SI». Le RSSI doit donc concilier deux domaines, celui du «technicien» (qu il est souvent à l origine), et celui de manager de la sécurité des SI. Ceci l oblige à avoir une connaissance fine des métiers de son entreprise et des capacités d organisation ou d architecture du SI. Par ailleurs, il est souvent amené à assurer des fonctions transverses, notamment en termes d identification et de gestion des risques liés au SI dans son ensemble. On rejoint donc ici la frontière entre sécurité du SI et gestion des risques. Si la sécurité du SI correspond à la définition et à la mise en œuvre de réponses à des risques clairement identifiés, il y a une nécessaire coopération entre le RSSI et le Risk Manager (dans le cas où ces deux acteurs existent dans l entreprise). Il est intéressant, pour illustrer les différences et les complémentarités entre ces deux fonctions, de Educnet Economie&Gestion Rubrique Systèmes d Information - 6

consulter un document produit par le CLUSIF «RM et RSSI : deux métiers s unissent pour la gestion des risques liés au système d information» xv. À propos du rôle du RSSI : consulter l entretien avec Alain Bouillé, RSSI à la Caisse des Dépôts, sur ce même site. La confiance numérique Cadrage épistémologique Le concept de confiance a fait l objet de nombreuses réflexions, en particulier depuis le début du 20 ème siècle. En sciences politiques, la confiance est un thème assez classique, à la fois considérée comme une des conditions d émergence de la démocratie et comme un facteur clé de son fonctionnement. En sociologie, le thème prend de l ampleur depuis les travaux du philosophe et sociologue Georg Simmel (1858-1918), pour qui la confiance est un phénomène social sans lequel nous ne pourrions ni agir, ni interagir xvi jusqu aux travaux plus récents de Louis Quéré xvii qui s intéressent à la structure cognitive de la confiance ainsi qu à la confiance dans les institutions publiques xviii. Mais ce sont surtout les sciences économiques, et en particulier les spécialistes de la gestion, qui s intéressent à la confiance comme mécanisme central de la coordination des échanges en situation d'ignorance ou d'incertitude. Quand le concept de confiance est étudié en sciences économiques, il l est comme un mécanisme qui présente l avantage de réduire les «coûts de transaction» (Coase, Williamson, Arrow) liés à la recherche d informations et aux contrôles réciproques que devrait provoquer l incomplétude des contrats. Au niveau des organisations, la confiance est un concept pivot qui permet de réduire l incertitude dans les régulations organisationnelles (théorie des contrats, de la coordination, des jeux et des conventions). Certains travaux se focalisent sur les relations entre confiance et performance (J. Allouche et B. Amann xix ou encore Fukuyama xx qui soutient que la confiance détermine la performance de toutes les institutions, y compris les firmes), entre confiance et gouvernance (G. Charreaux xxi ). Sur des bases épistémologiques très diverses, le concept de confiance est par ailleurs régulièrement associé à des objets variés (par exemple confiance et sécurité, confiance alimentaire, confiance et État, informatique de confiance etc.). La thématique de la confiance numérique est assez récente et repose principalement sur les domaines de la qualité et de la sécurité appliquées aux TIC. Il est assez vite instrumentalisé et ramené à des dispositifs de sécurité ou de certification xxii. Les TI ont permis, par la numérisation, la dématérialisation des échanges avec pour conséquences : - des solutions techniques prometteuses, qui peuvent (ou vont pouvoir) garantir automatiquement la sécurité des relations, - mais aussi une dépersonnalisation et une décontextualisation qui augmentent l incertitude liée l échange. Or, dès qu'il existe une incertitude liée à l'échange, la confiance est d'autant plus nécessaire qu'elle permet de réduire les coûts de transaction. Le concept de confiance numérique (en anglais Digital Trust) est lié à la dématérialisation et aux notions de document numérique, de signature électronique, d'archivage à valeur probante et de tiers de confiance. Educnet Economie&Gestion Rubrique Systèmes d Information - 7

Le cadre juridique et institutionnel La place de la confiance est conditionnée par le cadre institutionnel xxiii, qui fixe en partie les règles du jeu xxiv. Si on se limite à la thématique de la confiance numérique, quelques textes assez récents démontrent une réelle volonté gouvernementale de renforcer la confiance numérique. La loi n 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique http://www.legifrance.gouv.fr/affichtexte.do?cidtexte=jorftext000000801164&datetexte, transposition en droit français de la directive du 8 juin 2000 sur le commerce électronique, avait pour principaux objectifs de renforcer la confiance dans le commerce électronique et la lutte contre les publicités indésirables, de conforter la liberté de la communication publique en ligne, de mieux sécuriser les échanges et amplifier les moyens de lutte contre la cybercriminalité. L'«économie numérique» désigne l'économie liée aux biens et services relatifs aux technologies de l'information et de la communication, c'est-à-dire les services et les équipements informatiques réunissant l'internet, les réseaux de communication et l'audiovisuel numérique. Le développement de ce secteur d'activité repose sur la confiance, c'est-à-dire la foi en son potentiel, mais également la sécurité associée. Cela suppose une bonne perception des problématiques liées à l utilisation des TIC, dans divers contextes, d en percevoir clairement les risques, et de connaître, comprendre et mesurer l intérêt de divers instruments et/ou informations relatives permettant d agir alors dans un climat de confiance. Beaucoup plus récemment, dans une mission présidée par Alain Bravo, le rapport «La société et l économie à l aune de la révolution numérique - Enjeux et perspectives des prochaines décennies (2015/2025) xxv» a été remis début juillet 2009. Il s agit d un exercice de prospective qui a vocation à s inscrire dans la dynamique du Plan de développement de l économie numérique, France numérique 2012, et du volet numérique du plan de relance. Parmi les six axes de réflexion repérés dans le rapport afin de décrire des orientations stratégiques de long terme, retenons l axe intitulé «Renforcer la confiance». «Le développement de l économie numérique repose sur la confiance des usagers dans les outils et réseaux numériques. Celle-ci dépende très fortement des régulations et des modes de gouvernance, existantes ou à construire, tant au niveau mondial qu à l échelle européenne et française. Elle suppose une connaissance précise des vulnérabilités et des installations critiques particulièrement en cas de crise». De nombreuses réflexions et divers outils sont également produits à propos de la sécurité des SI. Citons à ce propos quelques ressources en ligne : «La sécurité des SI, un enjeu majeur pour la France» : http://www.ladocumentationfrancaise.fr/rapports-publics/064000048/index.shtml Le portail gouvernemental de la sécurité informatique http://www.securite-informatique.gouv.fr/ L Agence nationale de la sécurité des systèmes d information - ANSSI : http://www.ssi.gouv.fr/ Au niveau des organisations Actuellement, la sécurité informatique est essentielle pour gagner la confiance des partenaires de l entreprise et des utilisateurs. Un manque de confiance dans la sécurité de l environnement informatique d une entreprise peut porter préjudice aux relations avec les consommateurs, partenaires, actionnaires voire les salariés. En conséquence, chaque organisation doit définir un niveau de risque acceptable induit par ses objectifs d'échanges, et en étudier les aspects techniques, humains, organisationnels et réglementaires. Educnet Economie&Gestion Rubrique Systèmes d Information - 8

La transparence et la communication sont en outre des aspects importants de la confiance numérique : la confiance se construit par les usages. Elle suppose une communication ouverte sur les pratiques de sécurité en vigueur dans l organisation, une preuve continue de sa loyauté et l implication constante des clients et partenaires commerciaux. Alors que la gestion des risques est «sanctuarisée» dans ses aspects stratégiques, et donc confidentielle, la confiance numérique nécessite une certaine transparence. Il s agit d une démarche de gestion et de développement d outils et de méthodes de sécurité (techniques et de gouvernance), visant à prouver la capacité de l organisation à fournir une informatique de confiance. Avec le développement des normes de sécurité xxvi de l information, on assiste à une «certification de la sécurité.» Le British Standard Institute a été le premier organisme, en 1995, à publier une norme dans le domaine de la sécurité des systèmes d information. Le standard BS 7799 définissait les bonnes pratiques pour la sécurité des systèmes d information. L ISO (International Organization for Standardization ) l a suivi cinq ans après, et a publié de nombreuses normes dans le même domaine, telle que la norme ISO 17799, issue de BS 7799, ou ISO 13335 (lignes directrices pour la gestion de la sécurité). Ces différentes normes visent à assurer la sécurité de l information, que son support soit de nature électronique ou papier, et que la cause des incidents potentiels soit accidentelle ou délibérée. C est ensuite la «famille» 2700x qui développe la notion de «Système de Gestion de la Sécurité de l Information» (SGSI). Un SGSI définit le cadre d une amélioration continue de la sécurité de l information, en se basant principalement sur une approche de gestion des risques. Pour le moment, huit normes sont en développement au sein de la série 2700x, dont certaines ont été publiées (dont ISO 27001 définissant les exigences requises pour la certification d un SGSI). À terme, l ensemble intégré des normes de la série des 2700x devrait permettre de former un modèle de gouvernance de la sécurité de l information. Ces normes peuvent être assimilées à un label de confiance. Il est vrai que, comme dans d autres domaines (norme ISO 9001, relative à la qualité, véritable aide au quotidien pour tout consommateur), les normes peuvent servir de repère pour tout utilisateur d un système d information. La gestion des risques liés au SI, la sécurité des SI et la confiance numérique sont étroitement liées. Néanmoins, si la première se définit comme une démarche pour appréhender les risques auxquels l organisation est exposée via son SI, la deuxième se rapproche des moyens mis en œuvre pour défendre le patrimoine informationnel de l organisation, tandis que la dernière correspond à une démarche qui doit permettre à l organisation de tirer parti de la chaîne de valeur liée aux dispositifs mis en place pour assurer la confiance. i http://www.protiviti.com/fr- FR/Insights/Documents/Protiviti_Barom%C3%A8tre%20du%20Risk%20Management_2009.pdf ii https://www.clusif.asso.fr/fr/production/ouvrages/pdf/clusif-gestion-des-risques-2008.pdf iii Le référentiel COSO de contrôle interne (du Committee Of Sponsoring Organizations of the Treadway Commission) utilisé dans le cadre de la mise en place des dispositions relevant de la loi Sarbanes-Oxley aux Etats-Unis) donne une description assez fournie des risques. Le COSO 2, "Enterprise Risk Management Framework" (http://www.coso.org/publications/erm/coso_erm_executivesummary.pdf) est aujourd'hui le cadre de référence de la gestion des risques. Alors que le COSO 1 propose un cadre de référence pour la gestion du contrôle interne, le COSO 2 le complète sur le concept de gestion des risques et fournit une vision orientée risques de l entreprise. iv Voir à ce propos : http://www.secinfo.gouv.fr/gp_article50.html Educnet Economie&Gestion Rubrique Systèmes d Information - 9

v Voir à ce propos : http://www.camagazine.com/archives-fr/articles-web/2008/camagazine4800.aspx vi DCSSI : Direction centrale de la sécurité des systèmes d information. Ses missions ont été reprises, en juillet 2009, par l Agence nationale de la sécurité des systèmes d information (ANSSI). http://www.ssi.gouv.fr/ vii http://www.isaca.org/template.cfm?section=francais viii L AFAI (Association française de l audit et du conseil informatique) http://www.afai.fr/index.php?m=0 ix DICP : http://www.riana.info/riana_outils_exigences_dicp.htm x http://www.afai.fr/public/doc/335.pdf xi Voir à ce propos : http://www.ysosecure.com/politique-securite/parefeu-humain.asp xii http://fr.wikipedia.org/wiki/cryptographie xiii http://www.ysosecure.com/securite-echanges/certificat-numerique.asp xiv http://cigref.typepad.fr/cigref_publications/rapportscontainer/parus2008/protection_onformation/protection_information_20 08.pdf xv https://www.clusif.asso.fr/fr/production/ouvrages/pdf/clusif-rm-rssi-gestion-des-risques.pdf xvi «La vie repose sur mille conditions préalables que l'individu ne peut absolument pas étudier ni vérifier jusque dans leurs fondements, mais qu'il doit accepter de confiance. ( ) Nous fondons nos décisions les plus importantes sur un système complexe de représentations dont la plupart supposent la certitude de ne pas être trompé» (G. Simmel Secret et sociétés secrètes) xvii Notamment : L. Quéré et A. Ogien (dir.), Les moments de la confiance. Connaissance, affects et engagements, Paris, Economica, Coll. «Etudes sociologiques», xviii http://www.info.fundp.ac.be/confiance_gouvernance/introduction.html xix Economies et Sociétés, 1998 : «La Confiance : une explication des performances des entreprises familiales http://docs.ksu.edu.sa/pdf/articles29/article290599.pdf => Définition de la confiance : présomption que, en situation d incertitude, l autre partie va agir, y compris face à des situations imprévues en fonction de règles de comportement que nous trouvons acceptables». xx http://www.cairn.info/article.php?id_article=redp_111_0151 xxi Le rôle de la confiance dans le système de gouvernance des entreprises Gérard Charreaux 1998 http://pagespersoorange.fr/gerard.charreaux/perso/articles/confiance0698.pdf xxii http://www.info.fundp.ac.be/confiance_gouvernance/introduction.html xxiii Pour Williamson (1993b) la «confiance institutionnelle» fait référence au contexte social et organisationnel à l intérieur duquel s inscrivent les contrats. La «confiance personnelle» est définie comme la confiance intervenant dans les relations non commerciales, c est-à-dire, familiales, amicales ou amoureuses. Le caractère quasi-non calculatoire de la confiance personnelle serait notamment lié aux coûts associés à la destruction de «l atmosphère xxiv Voir à ce propos, http://pagesperso-orange.fr/gerard.charreaux/perso/articles/confiance0698.pdf xxv http://www.strategie.gouv.fr/article.php3?id_article=999 xxvi Pour plus d informations sur les normes de sécurité : http://www.ysosecure.com/norme-securite/pourquoi-normesecurite.asp Educnet Economie&Gestion Rubrique Systèmes d Information - 10

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back