Sécurité des systèmes d’information : de la gestion des risques à la confiance numérique

Sécurité des systèmes d’information : de la gestion des risques à la confiance numérique


Le renforcement récent des exigences réglementaires a mis en exergue les questions de sécurité des systèmes d’information. De nombreuses organisations définissent et mettent en œuvre des politiques de sécurité, parfois formalisées, parfois empiriques. Certaines se dotent de RSSI, responsables de la sécurité des systèmes d’information, qui ont pour rôle de maîtriser des risques technologiques, mais également de contribuer à améliorer la performance des processus métier.
Les notions de gestion des risques informatiques, de sécurité et d’informatique de confiance sont étroitement liées. Les contours labiles de ces notions sont le reflet des divergences de pratiques entre des entreprises de secteurs, de culture, de taille et d’organisation différentes.
Cet article cherche à expliciter cette étroite imbrication, en définissant les notions de risques, de sécurité des systèmes d’information et de confiance numérique, afin de faire apparaître leurs déterminants respectifs, leurs objectifs et leurs enjeux pour les organisations.


Risques et gestion des risques


Le risque et la prise de risque font partie intégrante de la vie de l’organisation et de son développement.
 

Définition et typologies des risques



Un risque est un danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité.
Le risque est défini juridiquement comme l’ "éventualité d'un événement futur, incertain ou d'un terme indéterminé, ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage".

Les risques sont souvent décrits par type afin d’en faciliter la classification et l’analyse.
De nombreux types de risques existent, ainsi que diverses classifications en catégories et sous-catégories propres à chaque domaine d'activité et / ou profession.
 

⇒ Dans la 6ème  édition du baromètre du Risk Management [1] (Protiviti et TNS Sofres), les risques sont classés selon leur nature dans l’une des trois catégories suivantes :
• les risques externes, liés à l’environnement de l’entreprise, son activité, son marché, ses concurrents, les réglementations, etc.
• les risques internes, liés à l’organisation de l’entreprise, son management, ses processus, ses systèmes d’information, etc.
• les risques de pilotage liés aux informations nécessaires pour prendre les bonnes décisions : reporting financier, tableaux de bord, etc.

Il est intéressant de noter que le classement 2009 des cinq risques majeurs de ce baromètre est totalement modifié par rapport aux classements des précédentes années, où l’insatisfaction client, les systèmes d’information et l’image de marque étaient identifiés comme les risques majeurs auxquels les entreprises étaient confrontées. Dans le cadre du baromètre 2009, seul le risque lié aux concurrents demeure dans le classement des cinq risques majeurs, aux côtés des risques liés au marché et ses évolutions, des risques liés aux marchés financiers, des risques de change, taux et matières premières, et des risques de crédit et de contrepartie.
Dans ce classement 2009, on retrouve uniquement des risques externes ou des risques internes liés à des contreparties externes. C’est un changement radical par rapport aux cinq éditions précédentes.
Seules les entreprises du secteur des Services se démarquent en positionnant les risques liés aux innovations technologiques et à l’environnement juridique comme majeurs dans leur secteur.
 

Ce constat met en évidence que la perception du risque est un phénomène subjectif fortement lié à la façon qu'ont les organisations d’appréhender une situation dans un environnement donné.

⇒ En entreprise, la typologie est une des étapes de l’analyse du risque : la typologie des risques permet de classer les risques en classes homogènes, pour mieux guider leur analyse.
Pour un projet, on peut par exemple classer un risque dans l’une des cinq grandes familles suivantes : risque organisationnel, risque technique, risque financier, risque humain, risque juridique.
Au niveau de l’organisation, on peut classer les risques en fonction de leur domaine de gestion (risques stratégiques, risques opérationnels, risques projets…), ou de leur nature (risques produits, risques sociaux, risques TI, risques produits).

⇒  Si la notion générale de risque peut être définie, cela est plus délicat dès qu’on cherche à définir ses éléments constitutifs, nécessaires à l’identification et à l’évaluation d’un risque. Le CLUSIF - Club de la Sécurité de l'Information Français - a produit un dossier technique [2] (mis à jour en janvier 2009), qui classe les définitions du risque en deux grandes catégories :

  •     Définitions du risque basées sur la notion de menace, associée ou non à des vulnérabilités.

Remarque : une menace correspond à un type d’action bien identifié qui, dans l’absolu, peut nuire. Une vulnérabilité correspond au niveau d’exposition face à la menace, dans un contexte particulier.
Ce type de définition (risque = menace + vulnérabilité) correspond à une vision "statique" des risques. En effet, les éléments pris en compte ne font pas intervenir la variable temps et ne permettent donc pas de décrire les enchaînements d’évènements, de causes et de conséquences.

  • Définitions du risque basées sur des scénarios. Elles conduisent à décrire des "situations de risque" décrivant à la fois le dommage subi et les circonstances dans lesquelles se produit ce dommage.  On privilégie ici sur une vision dynamique des risques dans laquelle le temps peut être pris en compte, permettant de prévoir des actions différenciées en fonction des phases de scénario de risque.


⇒  Parmi les différents types de risques[3] , les risques liés à l’information ont des caractéristiques propres. Leurs facteurs sont de plusieurs ordres :

  • technologique : dysfonctionnement d’un composant dans une infrastructure technique ou applicative, pouvant perturber la fourniture d’un service, entraîner la perte de confidentialité d’une information ou nuire à l’intégrité du patrimoine informationnel de l’organisation,
  • humain : criminalité informatique, intrusion, espionnage industriel, erreurs humaines dans le choix ou l’usage d’une solution informatique,
  • risques naturels, essentiellement climatiques : chaleur/froid, inondations….

 


La gestion des risques liés aux technologies de l’information


De façon générale, la gestion du risque consiste à coordonner, de façon continue, les activités visant à diriger et piloter une organisation vis-à-vis des risques. Il s’agit d’activités d’identification, d’analyse, d’évaluation et d’anticipation des risques, ainsi que de mise en place d’un système de surveillance et de collecte systématique des données pour déclencher les alertes. À ces activités d’appréciation et de traitement des risques, viennent s’ajouter des activités d’acceptation et de communication relative aux risques[4].

⇒ Les technologies de l’information (TI) sont un axe particulier de la gestion des risques.  Une gestion des risques liés aux TI doit permettre d’assurer la disponibilité, l’intégrité, la confidentialité des données de l’organisation[5] ainsi que la preuve et le contrôle. Si les risques liés aux TI peuvent (et doivent ?) être traités avec la même démarche que les autres risques (risques produits, risques sociaux, risques financiers), ils doivent cependant être analysés et gérés sur la base d’une collaboration étroite avec les directions métiers de l’entreprise. En effet, le risque lié aux TI se distingue par la criticité de son impact : là où un risque lié à la qualité d’un produit par exemple a des conséquences (parfois lourdes mais diffuses) sur l’entreprise, un problème sur l’infrastructure a des retombées immédiates et parfois brutales sur l’activité courante de l’organisation. Les risques liés aux TI sont donc particulièrement sensibles.


⇒ Il existe de multiples méthodes de gestion et d’analyse de risques informatiques. Parmi elles :

Née en 1996, cette méthode a également été mise au point par le CLUSIF, qui a invité les utilisateurs de la méthode MARION à migrer vers MEHARI. MEHARI se place dans une approche système d’information en fournissant un cadre méthodologique, des outils et des bases de connaissance pour analyser les enjeux majeurs et étudier les vulnérabilités, réduire la gravité des risques et piloter la sécurité de l’information.
 


⇒  A côté de ces méthodes d’analyse des risques, il existe une famille de normes ISO (2000x) qui définit un certain nombre de critères pour l’appréciation du risque lié aux technologies de l’information. En particulier, la norme ISO20005, publiée en 2009, fait une description développée des exigences en termes de gestion des risques liés à la sécurité de l’information. ISO2005 n’a cependant pas pour finalité de remplacer les méthodes d’évaluation des risques qui ont une portée plus large que la norme, en s’intéressant au recensement des actifs dits « sensibles », à l’identification et à l’analyse des menaces et vulnérabilités, au pilotage en fonction de scénarios, ainsi qu’à l’acceptation des risques.
Les critères ISO 20005 ne constituent donc pas une méthode d’analyse à part entière, mais ils orientent les évolutions des méthodes existantes qui doivent être présentées en conformité à ISO20005.
 

Les SI au cœur de la gestion des risques



Parce que les organisations se structurent de plus en plus autour de leur SI, les SI sont au cœur de la gestion des risques d’entreprise. Ils sont à la fois source de risques et moyen de gestion des risques.

⇒  Les risques majeurs liés au SI sont les suivants :

  • risque de défaillance, source majeure de risque opérationnel
  • risque de pénétration de l’organisation par son SI (exemple : espionnage industriel),
  • risque d’attaques extérieures


⇒  Le SI est aussi un moyen de gestion des risques. En effet, l’analyse, le suivi et le contrôle des risques reposent en grande partie sur l’accumulation ou la production d’informations. C’est par exemple le cas de la lutte contre le blanchiment d’argent, organisée essentiellement via les SI qui permettent de détecter des anomalies dans les transactions.
La maîtrise des risques repose en outre sur l’efficience des systèmes d’information. Les modèles d’anticipation et de simulation des risques (calculs stochastiques et techniques de simulation en finance notamment) utilisent des systèmes d’information sophistiqués.

⇒  La gouvernance du SI doit pouvoir aider à la maitrise des risques, c’est-à-dire chercher à préserver la valeur acquise par l'entreprise contre tous les écarts qui pourraient entrainer sa dépréciation ou sa destruction.
Là encore, divers outils, complémentaires, de la gouvernance des SI existent :

  • CobiT est un référentiel de gouvernance du SI, publié par l’ISACA[7], qui vise à garantir l’alignement des TI avec les objectifs commerciaux, l’utilisation responsable de leurs ressources, et la gestion adéquate de leurs risques.
  • ValIT est un référentiel basé sur CobiT, qui explique comment une entreprise peut tirer la meilleure valeur possible de ses investissements informatiques. Il est structuré en 3 processus (gouvernance de la valeur, gestion de portefeuille et gestion de l’investissement) et en pratiques clés de management des SI.
  • Risk IT est un nouveau (édition prévue à l’automne 2009) référentiel portant sur les risques IT, édité par l’AFAI[8] (qui est le chapitre français de l’ISACA). Ce référentiel décrit des bonnes pratiques, au niveau du SI, liées à la préservation de la valeur de l’entreprise. Il s’appuie sur le référentiel COBIT, mais il prend en compte les enjeux du management associé au système d’information (alors que Cobit reste centré sur le SI).

 


Sécurité des SI


Gestion des risques liés aux TI ou sécurité du SI ?


La sécurité du système d’information est souvent définie à partir de quatre critères fondamentaux de la valeur d’une information (DICP[9]). :

  • la disponibilité (D), en termes de délais et de performance,
  • l’intégrité (I), à savoir l’exactitude et l’exhaustivité de l’information, non modifiée par des tiers non autorisés
  • la confidentialité (C) : l’information doit être accessible uniquement aux tiers autorisés,
  • la preuve/contrôle (P), c’est-à-dire à la fois la non-répudiation (impossibilité pour un acteur de nier avoir reçu ou émis l’information) et l’ "auditabilité" de l’information (possibilité de contrôler le bon déroulement du processus ayant permis d’obtenir l’information).

En réalité, ces critères doivent être pris en compte en termes de gestion des risques induits. Exprimer un risque consiste à décrire son incidence et sa probabilité. La gestion des risques est un domaine stratégique de la gouvernance des SI.
L’analyse et la gestion des risques permettent d’identifier des objectifs de sécurité. Ces objectifs de sécurité visent à protéger les actifs de valeur (c’est-à-dire les données ou les informations stockées, traitées, partagées, transmises ou extraites à partir d'un support électronique) contre les menaces qui conduisent à la perte, l’inaccessibilité, l’altération ou la divulgation inappropriée.
Le concept de sécurité peut donc se résumer à l’objectif de sécurité : "la sécurité des systèmes d'information a pour objectif de protéger les intérêts de ceux qui dépendent des systèmes d'information et de communication qui délivrent l'information, contre les préjudices imputables à des défauts de disponibilité, de confidentialité, et d'intégrité[10]".

La sécurité des SI se situe donc au niveau opérationnel et tactique, en réponse aux risques identifiés au niveau stratégique.
 


Les approches de la sécurité du SI



La sécurité est souvent abordée sous des aspects techniques. Pour éviter des défauts de disponibilité, de confidentialité, d'intégrité et de preuve liés à des risques identifiés, il est en effet possible de mettre en place une batterie d’outils spécifiques, tels que des mesures de sécurité physique, des contrôles de bases, l’identification des utilisateurs, des techniques biométriques, des pare-feu etc.
Ces parades sont organisées en couches et sont tout autant techniques que non-techniques. Un pare-feu par exemple peut désigner un pare-feu humain[11], c’est-à-dire l’ensemble de comportements du personnel face aux risques.

⇒  La sécurité des échanges passe notamment par un ensemble de techniques bien identifiées :

  • la cryptographie[12] désigne l’ensemble des techniques permettant de chiffrer des messages, les rendant ainsi inintelligibles sauf par le destinataire capable de le déchiffrer par une action spécifique. Il existe des algorithmes de cryptographie asymétrique à clé publique et à clé privée. La cryptographie permet d’assurer la confidentialité des données échangées.
  • le hachage permet d’assurer l’intégrité des informations échangées, en vérifiant la non altération des données au cours de l’échange. Une fonction de hachage calcule, à partir de la donnée entrée, une "empreinte" (condensé représentant l’information envoyée) comparée à l’arrivée à la donnée reçue.
  • les contrôles d’accès permettent l’authentification des utilisateurs. Ils peuvent se faire par un mot de passe, une carte à puce, une clé, ou encore un élément biométrique.
  • la signature électronique permet non seulement d’assurer l’authentification de l’expéditeur et de vérifier l’intégrité du message reçu mais également de garantir la non-répudiation (garantie que les acteurs de l’échange ne peuvent nier avoir effectué la transaction). Plusieurs solutions technologiques permettent de signer électroniquement : logiciel installé sur le DD, carte à puce ou clé USB avec code secret… Plus que technique, la signature électronique s’inscrit dans un paradigme où les bases juridiques sont essentielles.
  • les certificats numériques et tiers de confiance : les certificats numériques permettent de compléter le dispositif de clé d’authentification afin de prouver que la clé utilisée par une entité (machine ou personne) est bien celle de l’utilisateur à laquelle elle est associée. Pour cela, il est possible d’obtenir un certificat numérique auprès d’un organisme de certification[13].


⇒  Les approches méthodologiques en SSI ont évolué depuis quelques années, passant progressivement d’une sécurité "périmétrique" (constitution de "remparts" au moyen de dispositifs techniques permettant de protéger des machines et des équipements) à une sécurité abordée de façon plus élargie, permettant la poursuite de l’activité, même en mode dégradé, après interruption des services ou détérioration des machines.
La sécurité n’est plus considérée comme un état mais comme un processus qui se répare et s’améliore en permanence.

⇒ La sécurité du SI fait appel à des solutions techniques, mais également à  la mise en place rigoureuse d’une organisation adaptée aux objectifs recherchés. Cela passe par des mesures de sensibilisation, de formation des utilisateurs, ainsi que par l’expression de règles clairement définies.
La SSI c’est donc la sécurité du système informatique mais aussi la prise en charge des aspects patrimoniaux du SI, notamment afin que les utilisateurs puissent utiliser le SI en toute confiance.
Le besoin de maintenir l’intégrité de l’information et de protéger les actifs informatiques exige un processus de gestion de la sécurité. Ce processus comporte la mise en place (et la maintenance) de rôles et de responsabilités, de politiques, de plans et procédures informatiques.
La gestion de la sécurité implique aussi une surveillance de la sécurité, des tests et des actions correctives lors d’incidents ou de découverte de failles dans la sécurité. Une gestion efficace de la sécurité protège tous les actifs informatiques pour réduire le plus possible les conséquences de vulnérabilités et d’incidents de sécurité.
Le CIGREF définit la protection de l’information[14] de la façon suivante : "La protection de l’information est une démarche consciente visant à protéger, au sein de l’entreprise étendue, ce qui vaut la peine d’être protégé, tant au niveau des données que des supports d’information. Cette démarche implique un système de gestion, une identification des informations sensibles, une analyse de risques, des acteurs, avec des rôles et responsabilités et un programme de réduction des risques. "
 


Les acteurs de la sécurité du SI



La sécurité du patrimoine informationnel repose également sur le repérage des rôles et responsabilités des différents acteurs de la SSI.

Aux côtés de la DSI et des utilisateurs du système d’information, le RSSI - responsable de la sécurité du système d’information a une place toute particulière.

⇒  Selon le CIGREF, le RSSI assure "un rôle de conseil, d’assistance, d’information, d’alerte et de préconisation. Il peut intervenir directement sur tout ou partie des systèmes informatiques et télécoms de son entité. Il effectue un travail de veille technologique et réglementaire sur son domaine et propose des évolutions qu’il juge nécessaires pour garantir la sécurité logique et physique du système d’information dans son ensemble. Il est l’interface reconnue des exploitants et des chefs de projets mais aussi des experts et des intervenants extérieurs pour les problématiques de sécurité de tout ou partie du SI".

Le RSSI doit donc concilier deux domaines, celui du "technicien" (qu’il était souvent à l’origine), et celui de manager de la sécurité des SI. Ceci l’oblige à avoir une connaissance fine des métiers de son entreprise, et des capacités d’organisation ou d’architecture du SI.


⇒  Par ailleurs, il est souvent amené à assurer des fonctions transverses, notamment en termes d’identification et de gestion des risques liés au SI dans son ensemble. On rejoint donc ici la frontière entre sécurité du SI et gestion des risques. Si la sécurité du SI correspond à la définition et à la mise en œuvre de réponses à des risques clairement identifiés, il y a une nécessaire coopération entre le RSSI et le Risk Manager (dans le cas où ces deux acteurs existent dans l’entreprise). Il est intéressant, pour illustrer les différences et les complémentarités entre ces deux fonctions, de consulter un document produit par le CLUSIF "RM et RSSI : Deux métiers s’unissent pour la gestion des risques liés au système d’information"[15].

 

La confiance numérique
 


Cadrage épistémologique


Le concept de confiance a fait l’objet de nombreuses réflexions, en particulier depuis le début du 20ème siècle.
 

⇒ En sciences politiques, la confiance est un thème assez classique, à la fois considérée comme une des conditions d’émergence de la démocratie et comme un facteur clé de son fonctionnement.
En sociologie, le thème prend de l’ampleur depuis les travaux du philosophe et sociologue Georg Simmel (1858-1918), pour qui la confiance est un phénomène social sans lequel nous ne pourrions ni agir, ni interagir [16] jusqu’aux travaux plus récents de Louis Quéré[17]  qui s’intéressent à la structure cognitive de la confiance ainsi qu’à la confiance dans les institutions publiques[18] .
Mais ce sont surtout les sciences économiques, et en particulier les spécialistes de la gestion, qui s’intéressent à la confiance, comme mécanisme central de la coordination des échanges en situation d'ignorance ou d'incertitude.

⇒  Quand le concept de confiance est étudié en sciences économiques, il l’est comme un mécanisme qui présente l’avantage de réduire les "coûts de transaction" (Coase, Williamson, Arrow) liés à la recherche d’informations et aux contrôles réciproques que devrait provoquer l’incomplétude des contrats.
Au niveau des organisations, la confiance est un concept pivot qui permet de réduire l’incertitude dans les régulations organisationnelles (théorie des contrats, de la coordination, des jeux et des conventions). Certains travaux se focalisent sur les relations entre confiance et performance (J. Allouche et B. Amann[19] ou encore Fukuyama[20] qui soutient que la confiance détermine la performance de toutes les institutions, y compris les firmes), entre confiance et gouvernance  (G. Charreaux[21]).

⇒  Sur des bases épistémologiques très diverses, le concept de confiance est par ailleurs régulièrement associé à des objets variés (par exemple confiance et sécurité, confiance alimentaire, confiance et Etat, informatique de confiance etc.).
La thématique de la confiance numérique est assez récente et repose principalement sur les domaines de la qualité et de la sécurité appliquées aux TIC. Il est assez vite instrumentalisé et ramené à des dispositifs de sécurité ou de certification[22].
Les TI ont permis, par la numérisation, la dématérialisation des échanges avec pour conséquences :

  • des solutions techniques prometteuses, qui peuvent (ou vont pouvoir) garantir automatiquement la sécurité des relations,
  • mais aussi une dépersonnalisation ainsi qu’une décontextualisation qui augmentent l’incertitude liée l’échange.

Or, dès qu'il existe une incertitude liée à l'échange, la confiance est d'autant plus nécessaire qu'elle permet de réduire les coûts de transaction.

Le concept de confiance numérique (en anglais Digital Trust) est lié à la dématérialisation et ainsi aux notions de document numérique, de signature électronique, d'archivage à valeur probante, de tiers de confiance.
 


Le cadre juridique et institutionnel


La place de la confiance est conditionnée par le cadre institutionnel[23], qui fixe en partie les règles du jeu[24].
Si on se limite à la thématique de la confiance numérique, quelques textes assez récents démontrent une réelle volonté gouvernementale de renforcer la confiance numérique.


⇒  La loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique , transposition en droit français de la directive du 8 juin 2000 sur le commerce électronique, avait pour principaux objectifs de renforcer la confiance dans le commerce électronique et la lutte contre les publicités indésirables, de conforter la liberté de la communication publique en ligne, de mieux sécuriser les échanges et amplifier les moyens de lutte contre la cybercriminalité.
L' "économie numérique" désigne l'économie liée aux biens et services relatifs aux technologies de l'information et de la communication, c'est-à-dire les services et les équipements informatiques réunissant l'Internet, les réseaux de communication et l'audiovisuel numérique. Le développement de ce secteur d'activité repose sur la confiance, c'est-à-dire la foi en son potentiel, mais également la sécurité associée.
Cela suppose une bonne perception des problématiques liées à l’utilisation des TIC, dans divers contextes, d’en percevoir clairement les risques, et de connaître, comprendre et mesurer l’intérêt de divers instruments et/ou informations relatives permettant d’agir alors dans un climat de confiance.

⇒ Beaucoup plus récemment, dans une mission présidée par Alain Bravo, le rapport "La société et l’économie à l’aune de la révolution numérique - Enjeux et perspectives des prochaines décennies (2015/2025)[25]" a été remis début juillet 2009. Il s’agit d’un exercice de prospective qui a vocation à s’inscrire dans la dynamique du Plan de développement de l’économie numérique, France numérique 2012, et du volet numérique du plan de relance. Parmi les six axes de réflexion repérés dans le rapport afin de décrire des orientations stratégiques de long terme, retenons l’axe intitulé "Renforcer la confiance".
"Le développement de l’économie numérique repose sur la confiance des usagers dans les outils et réseaux numériques. Celle-ci dépende très fortement des régulations et des modes de gouvernance, existantes ou à construire, tant au niveau mondial qu’à l’échelle européenne et française. Elle  suppose une connaissance précise des vulnérabilités et des installations critiques particulièrement en cas de crise".

⇒ De nombreuses réflexions et divers outils sont également produits à propos de la sécurité des SI. Citons à ce propos quelques ressources en ligne :

 

Les organisations et la confiance numérique


Actuellement, la sécurité informatique est essentielle pour gagner la confiance des partenaires de l’entreprise, mais également des utilisateurs.

⇒  Un manque de confiance en la sécurité de l’environnement informatique d’une entreprise peut porter préjudice aux relations avec les consommateurs, partenaires, actionnaires voire avec les salariés.
En conséquence, chaque organisation doit définir un niveau de risque acceptable induit par ses objectifs d'échanges, et en étudier les aspects techniques, humains, organisationnels et réglementaires.
La transparence et la communication sont en outre des aspects importants de la confiance numérique : la confiance se construit par les usages. La confiance numérique suppose une communication ouverte sur les pratiques de sécurité en vigueur dans l’organisation, une preuve continue de sa loyauté et l’implication constante des clients et partenaires commerciaux. Alors que la gestion des risques est  "sanctuarisée" dans ses aspects stratégiques, et donc confidentielle, la confiance numérique nécessite une certaine transparence.
Il s’agit d’une démarche de gestion et de développement d’outils et de méthodes de sécurité (techniques et de gouvernance), visant à prouver la capacité de l’organisation à fournir une informatique de confiance.

⇒  Avec le développement des normes de sécurité[26]  de l’information, on assiste à une "certification de la sécurité. "
Le British Standard Institute a été le premier organisme, en 1995, à publier une norme dans le domaine de la sécurité des systèmes d’information. Le standard BS 7799 définissait les bonnes pratiques pour la sécurité des systèmes d’information. L’ISO (International Organization for Standardization ) l’a suivi cinq ans après, et a publié de nombreuses normes dans le même domaine, telle que la norme ISO 17799, issue de BS 7799, ou ISO 13335 (lignes directrices pour la gestion de la sécurité). Ces différentes normes visent à assurer la sécurité de l’information, que son support soit de nature électronique ou papier, et que la cause des incidents potentiels soit accidentelle ou délibérée. C’est ensuite la "famille" 2700x qui développe la notion de « Système de Gestion de la Sécurité de l’Information » (SGSI). Un SGSI définit le cadre d’une amélioration continue de la sécurité de l’information, en se basant principalement sur une approche de gestion des risques. Pour le moment, huit normes sont en développement au sein de la série 2700x, dont certaines ont été publiées (dont ISO 27001 définissant les exigences requises pour la certification d’un SGSI). A terme, l’ensemble intégré des normes de la série des 2700x devrait permettre de former un modèle de gouvernance de la sécurité de l’information.

Ces normes peuvent être assimilées à un label de confiance. Il est vrai que, comme dans d’autres domaines (norme ISO 9001, relative à la qualité, véritable aide au quotidien pour tout consommateur), les normes peuvent servir de repère pour tout utilisateur d’un système d’information.

 



La gestion des risques liés au SI, la sécurité des SI et la confiance numérique sont étroitement liées.
Néanmoins, si la première se définit comme une démarche pour appréhender les risques auxquels l’organisation est exposée via son SI, la deuxième se rapproche des moyens mis en œuvre pour défendre le patrimoine informationnel de l’organisation, tandis que la dernière correspond à une démarche qui doit permettre à l’organisation de tirer parti de la chaîne de valeur liée aux dispositifs mis en place pour assurer la confiance.


====Notes====

[1]http://www.protiviti.com/fr-FR/Insights/Documents/Protiviti_Barom%C3%A8tre%20du%20Risk%20Management_2009.pdf
[2]https://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-Gestion-des-risques-2008.pdf
[3]Le référentiel COSO de contrôle interne (du Committee Of Sponsoring Organizations of the Treadway Commission) utilisé dans le cadre de la mise en place des dispositions relevant de la loi Sarbanes-Oxley aux Etats-Unis) donne une description assez fournie des risques. Le COSO 2, "Enterprise Risk Management Framework" (http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf)  est aujourd'hui le cadre de référence de la gestion des risques. Alors que le COSO 1 propose un cadre de référence pour la gestion du contrôle interne, le COSO 2 le complète sur le concept de gestion des risques et fournit une vision orientée risques de l’entreprise.

[4]Voir à ce propos : http://www.secinfo.gouv.fr/gp_article50.html
[5]Voir à ce propos : http://www.camagazine.com/archives-fr/articles-web/2008/camagazine4800.aspx
[6]DCSSI : Direction centrale de la sécurité des systèmes d’information. Ses missions ont été reprises, en juillet 2009, par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). http://www.ssi.gouv.fr/
[7]http://www.isaca.org/Template.cfm?Section=Francais
[8]L’AFAI (Association française de l’audit et du conseil informatique) http://www.afai.fr/index.php?m=0
[9]DICP : http://www.riana.info/riana_outils_exigences_dicp.htm
[10]http://www.afai.fr/public/doc/335.pdf
[11]Voir à ce propos : http://www.ysosecure.com/politique-securite/parefeu-humain.asp
[12]http://fr.wikipedia.org/wiki/Cryptographie
[13]http://www.ysosecure.com/securite-echanges/certificat-numerique.asp
[14]http://cigref.typepad.fr/cigref_publications/RapportsContainer/Parus2008/protection_onformation/Protection_information_2008.pdf
[15]https://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-RM-RSSI-GESTION-DES-RISQUES.pdf
[16]"La vie repose sur mille conditions préalables que l'individu ne peut absolument pas étudier ni vérifier jusque dans leurs fondements, mais qu'il doit accepter de confiance. (…) Nous fondons nos décisions les plus importantes sur un système complexe de représentations dont la plupart supposent la certitude de ne pas être trompé » (G. Simmel – Secret et sociétés secrètes)
[17]Notamment : L. Quéré et A. Ogien (dir.), Les moments de la confiance. Connaissance, affects et engagements, Paris, Economica, Coll. "Etudes sociologiques"
[18]http://www.info.fundp.ac.be/confiance_gouvernance/Introduction.html
[19]Economies et Sociétés, 1998 : "La Confiance : une explication des performances des entreprises familiales  http://docs.ksu.edu.sa/PDF/Articles29/Article290599.pdf Définition de la confiance : "présomption que, en situation d’incertitude, l’autre partie va agir, y compris face à des situations imprévues en fonction de règles de comportement que nous trouvons acceptables".
[20]http://www.cairn.info/article.php?ID_ARTICLE=REDP_111_0151
[21]Le rôle de la confiance dans le système de gouvernance des entreprises Gérard Charreaux – 1998 http://pagesperso-orange.fr/gerard.charreaux/perso/articles/Confiance0698.pdf
[22]http://www.info.fundp.ac.be/confiance_gouvernance/Introduction.html
[23]Pour Williamson (1993b) la "confiance institutionnelle" fait référence au contexte social et organisationnel à l’intérieur duquel s’inscrivent les contrats. La "confiance personnelle" est définie comme la confiance intervenant dans les relations non commerciales, c’est-à-dire, familiales, amicales ou amoureuses.
[24]Voir à ce propos, http://pagesperso-orange.fr/gerard.charreaux/perso/articles/Confiance0698.pdf
[25]http://www.strategie.gouv.fr/article.php3?id_article=999
[26]Pour plus d’informations sur les normes de sécurité : http://www.ysosecure.com/norme-securite/pourquoi-norme-securite.asp