Sécurité du système d’information

12 octobre 2002 | Publications du Cigref, Publications par thèmes, Risques numériques

Une fonction sécurité arrivée à maturité

La majorité des grandes entreprises françaises ont mis en place une fonction de responsable de la sécurité des systèmes d’information (RSSI), ce qui témoigne de l’importance du sujet et de la maturité croissante de la fonction.

La fonction RSSI reste encore principalement localisée au niveau groupe ou holding. Elle est encore assez peu développée au niveau des filiales et des métiers. La plupart des responsables de la sécurité considèrent que la direction générale est désormais suffisamment sensibilisée aux risques liés aux systèmes d’information et que leur politique de sécurité est alignée avec la stratégie de l’entreprise.

Un modèle de gouvernance encore perfectible

La gouvernance de la sécurité, autrement dit le « qui fait quoi » et le « qui est responsable de quoi dans l’entreprise » est une notion vitale pour la pérennité du système d’information et la survie de l’entreprise.

Concernant la gouvernance, un effort de clarification doit être entrepris dans la répartition des rôles, en tenant compte de la culture et des spécificités de l’organisation, de manière à éviter qu’une même personne puisse être juge et parti et de manière à réduire les risques de dysfonctionnement dans l’organisation.

Une politique de sécurité orientée « gestion des risques »

Les préoccupations des DG en matière de sécurité du système d’information portent principalement sur deux aspects : la gestion des risques et le retour sur investissement. Les responsables de la sécurité intègrent la dimension « gestion des risques » dans leurs pratiques mais ont encore des progrès à faire en matière de métrique de la rentabilité. Pour les DSI, la question de la continuité du système d’information est un élément central pour répondre aux besoins des métiers.

Des menaces qui s’intensifient et se complexifient

Les personnes les plus citées comme étant à l’origine des menaces sont les salariés et les hackers. Les États ont parfois une influence en matière d’intelligence et de sécurité économique. Cette influence semble ici sous-estimée. De même, le rôle des concurrents comme source de menace semble sous-évalué.

Au palmarès des attaques subies en 2001 figurent en première ligne les attaques virales, les vols, les pannes internes et les erreurs d’utilisation.Les entreprises ont tendance à utiliser plusieurs arguments pour justifier leur budget sécurité : principalement le discours de la gestion des risques, de la contrainte réglementaire et de l’apport business. En dehors de l’indisponibilité de machines et de la perte de revenu liée à un processus business (par exemple un site de vente en ligne), les entreprises ont encore du mal à chiffrer leurs pertes.

Les normes et méthodes, un choix nécessaire et structurant

Choisir une norme ou une méthode d’analyse de risque ou d’organisation dans le domaine de la sécurité est un choix souvent structurant et de long terme pour l’entreprise en termes de coût, de ressources et d’organisation.

L’entreprise doit faire au préalable une analyse fine de ses besoins, de l’adéquation des méthodes existantes à ses besoins et de ses ressources disponibles. Parmi les critères de choix à retenir, on peut citer : l’objectif de la méthode, le degré de couverture, Le caractère standard ou non, le caractère transversal au système d’information ou non, le niveau d’adaptation possible à l’organisation, la facilité de mise en oeuvre, le coût, la maintenance de la méthode.

Le choix d’une méthode s’avère nécessaire mais pas suffisant. En effet, la méthode ne doit pas servir d’alibi ni masquer les insuffisances budgétaires, les erreurs techniques, les lacunes organisationnelles ou les défaillances humaines.

Les enjeux juridiques : risques et opportunités pour la DSI

Dans le cadre de ses activités sur la sécurité et des entretiens juridiques, le CIGREF s’est intéressé à la responsabilité pénale du directeur des systèmes d’information. Il apparaît que, par le biais des mécanismes de délégation, la responsabilité pénale du DSI, voire du RSSI ou de l’administrateur de la messagerie, est de plus en plus évoquée.

Parmi les trois dossiers juridiques jugés prioritaires par les responsables de la sécurité et les DSI, on peut citer l’archivage et la conservation des données, la responsabilité des hébergeurs et des prestataires techniques, la gestion des données personnelles des clients. D’autres dossiers sont jugés également importants : la cyber surveillance des salariés, la signature électronique.

L’année 2001-2002 aura été marquée par plusieurs textes législatifs ayant des incidences sur la politique de sécurité de l’entreprise. Parmi ceux-ci, on peut citer :

  • la loi sur la sécurité quotidienne du 15 novembre 2001, avec l’obligation faite aux opérateurs de télécommunication et aux fournisseurs d’accès à internet de conserver les données de connexion à des fins de police ;
  • la convention du Conseil de l’Europe du 23 novembre 2001 sur la cybercriminalité qui devrait permettre une avancée en matière de coopération judiciaire et de poursuites pénales au niveau internationales ;
  • le projet de loi du 30 janvier 2002, visant à transposer la directive communautaire du 24 octobre 1995 sur la protection des données à caractère personnel, qui va entraîner une refonte de la loi Informatique et Libertés de 1978 et renforcer les pouvoirs de la Cnil ;
  • la loi du 4 mars 2002, relative aux droits des malades et à la qualité du système de santé, dont les articles L. 1110-4 et L. 1111-8 ont trait à la sécurité des systèmes d’information (cas d’utilisation de la carte professionnelle de santé et conditions d’agrément des hébergeurs) ;
  • le décret du 18 avril 2002, relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information ;
  • l’arrêté du 31 mai 2002, relatif à la reconnaissance de la qualification des prestataires de certification électronique et à l’accréditation des organismes chargés de l’évaluation, permettant la mise en place d’un schéma d’accréditation volontaire dans le domaine des signatures électroniques.

Perspectives

Les entreprises sont passées d’une politique de sécurité basée sur la juxtaposition de briques hétérogènes à une politique de sécurité visant à l’optimisation des processus et à la rationalisation des investissements en sécurité. Parmi les marges de progrès et les chantiers complexes non résolus, on peut citer la gestion de la sécurité dans un contexte international et la question de la persistance de l’efficacité de la sécurité dans le temps.

Pour une majorité des grandes entreprises interrogées, le budget sécurité va encore augmenter en 2003, mais pas sur l’ensemble des postes. Sont principalement concernés les services d’annuaires, les réseaux privés virtuels, le monitoring de la sécurité, les infrastructures à clé publique ou PKI, les outils de chiffrements et d’authentification, les outils de détection d’intrusion internes.

La sécurité étant actuellement un thème à la mode, il n’est pas exclu qu’il y ait à terme un risque de surinvestissement dans le domaine, à l’instar de ce qui s’est produit par le passé dans l’ebusiness ou les télécoms. Le CIGREF met en garde contre des discours marketing parfois surgénérateurs de promesses mais également aussi contre un discours souvent trop alarmiste.

Télécharger « 2002 – Sécurité du système d’information » [pdf, 639 ko]

Anticiper les cyberattaques : de la surveillance à la gestion de crise

Dans un monde de plus en plus connecté, les entreprises, grandes ou petites, se retrouvent désormais exposées à des cyberattaques de toutes sortes. La numérisation rapide des organisations a considérablement étendu leur surface d'attaque, créant ainsi un défi majeur...

Le Cigref et ses partenaires européens publient un Manifeste pour les élections européennes.

Nos quatre associations, Beltug en Belgique, Cigref en France, CIO Platform Nederland aux Pays-Bas et Voice en Allemagne, qui représentent collectivement plus de mille grandes entreprises européennes utilisatrices de technologies numériques, ont identifié quatre...

L’IA en entreprise : retours d’expérience et bonnes pratiques

Le Cigref a publié, au mois de juillet 2023, une première note d'information et d'actualité intitulée « Recommandations au sujet des IA génératives ». Un peu plus de six mois après, les évolutions particulièrement rapides des solutions intégrant ce type de...

L’IA en entreprise : retours d’expérience et bonnes pratiques

Le Cigref a publié, au mois de juillet 2023, une première note d'information et d'actualité intitulée « Recommandations au sujet des IA génératives ». Un peu plus de six mois après, les évolutions particulièrement rapides des solutions intégrant ce type de...