Que signifie exactement "sécurité des systèmes d'information" ?

  • J'ai un antivirus donc je suis tranquille ?
  • J'ai un firewall donc je suis protégé ?
  • Je fais des sauvegardes donc je ne risque rien ?
  • Rien de ce qui précède ?

En résumé c'est un peu de chaque. La sécurité des systèmes d'information ne signifie pas forcément "mettre en place un firewall, un antivirus et faire des sauvegardes", son champ d'application est beaucoup plus vaste que cela. La sécurité des systèmes d'information est trop souvent confondue avec la seule sécurité des systèmes informatiques. La norme ISO 17799 nous fournit les définitions suivantes :

Sécurité de l'information : Préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information. Confidentialité : L'information ne doit être accessible qu'à ceux qui ont le droit d'y avoir accès. Intégrité : Maintient de l'exactitude et de l'intégralité de l'information et des méthodes de traitement. Disponibilité : Les utilisateurs autorisés doivent avoir accès à l'information et à tout ce qui lui est associé à chaque fois qu'ils en auront besoin.

La sécurité des systèmes d'information s'intéresse donc à l'information sous toutes ses formes, qu'elle ait été formalisée ou pas, numérisée ou pas, informatisée ou pas.

Bien se souvenir que Information n'est pas informatique !
Pour illustrer, voici quelques pistes :

  • Le téléphone.
    Alors que pirater une communication sur Internet nécessite de solides compétences informatique, écouter ce qui passe sur une ligne téléphonique ne demande que de savoir brancher deux fils, sans même prendre le risque de s'électrocuter : le courant est (heureusement !) beaucoup trop faible.
  • Les journaux.
    C'est une des premières sources de veille concurrentielle. Par exemple, si vous recrutez dans un secteur autre que votre coeur de métier, c'est certainement que vous voulez l'investir. Vous pouvez aussi répondre à un journaliste. Etes-vous certain de ne pas avoir donné la moindre information qui pourrait servir à un concurrent ?
  • Les corbeilles à papier.
    Factures, schémas explicatifs, brouillons de réponses à des appels à candidatures, notes confidentielles, etc. Utilisez-vous un destructeur de documents à chaque fois que nécessaire ?
  • Cafés, restaurants (etc.).
    Les conversations ne portent-elles jamais sur des sujets internes ? Etes-vous certains que les personnes assises à la table d'à côté ne sont pas ravies de vous entendre ?
  • le « social ingeneering » ou « ingénierie sociale ».
    Cet ensemble de techniques s'est récemment modernisée avec le « phishing » (ou « hameçonnage » ). Il s'agit de l'ensemble des méthodes visant à obtenir des informations en se faisant passer pour un interlocuteur digne de foi. Par exemple un prétendu technicien de maintenance qui pour mener à bien un soi-disant test de bon fonctionnement va demander un mot de passe pour être certain que le terminal de son interlocuteur fonctionne...
  • Les employés temporaires (intérim, freelances, etc.), le nettoyage, etc.
    Prenez-vous toujours toutes les précautions pour qu'ils n'en apprennent pas plus que nécessaire ?