Sécurité des systèmes d’information
La sécurité des systèmes d’information est et
reste une préoccupation. De nombreux sinistres ces dernières années et
en particulier durant l’été 2003 ont ravivé l’inquiétude. La couverture
de ces sinistres est extrêmement vaste. On y trouve en effet des
perturbations climatiques (inondation, canicule, tempête, panne
électrique, ...), des attaques de hackers, des virus et des vers, des
tentatives de récupération de données bancaires, des attaques
terroristes, ...
Les éléments marquants de ces sinistres sont leur importance et, pour les attaques logiques, la rapidité avec laquelle elles se sont développées et se sont transmises. L’importance du système d’informations n’a pour autant pas diminué et la mise en place de plus en plus large des processus de dématérialisation va encore accentuer le phénomène. Dans ce contexte, la plupart des Responsables de la Sécurité des Systèmes d’Information (RSSI) ont vu leur rôle et leur responsabilité s’accroître au sein des entreprises.
On trouvera dans la revue 75 une synthèse
permettant de préciser un panel des problématiques posées aux RSSI et
d’évoquer les éléments structurants permettant de les résoudre. Les
sujets évoqués sont à ce titre :
- La problématique de la dématérialisation et les services de sécurité qu’elle va entraîner,
- Le plan de reprise d’activité et ses composantes le plan de secours et la gestion de crise,
- La nécessité d’une veille technologique permettant de prévoir et d’anticiper tant se faire que peuvent les nouvelles attaques,
- Les aspects juridiques et les risques légaux supportés à la fois par le RSSI et par les dirigeants des entreprises,
- La nécessité d’intégrer les concepts de sécurité depuis la conception des logiciels et application et les modalités de cette intégration,
- Des aspects sur l’administration et la gestion des mécanismes de sécurité mis en place au travers de l’« identity management »
- Le plan de reprise d’activité et ses composantes le plan de secours et la gestion de crise,
- La nécessité d’une veille technologique permettant de prévoir et d’anticiper tant se faire que peuvent les nouvelles attaques,
- Les aspects juridiques et les risques légaux supportés à la fois par le RSSI et par les dirigeants des entreprises,
- La nécessité d’intégrer les concepts de sécurité depuis la conception des logiciels et application et les modalités de cette intégration,
- Des aspects sur l’administration et la gestion des mécanismes de sécurité mis en place au travers de l’« identity management »
Certains sujets ne sont pas abordés même s’ils sont aujourd’hui importants voir incontournables :
- Les nécessaires politiques et guides de sécurité
- Les plans de sensibilisation et la formation à la sécurité des systèmes d’information
- La sécurisation périphérique, firewall, IDS
- Les anti-virus et la nécessité de les tenir à jour
- Les logiciels anti-spam
- Le rôle important du poste de travail et de sa protection
- La sécurité et la mobilité
- L’intérêt des audits de sécurité et les tests d’intrusion,
- Le contrôle de l’ensemble des mesures au travers de tableaux de bord et d’une architecture de collecte d’information
- Les plans de sensibilisation et la formation à la sécurité des systèmes d’information
- La sécurisation périphérique, firewall, IDS
- Les anti-virus et la nécessité de les tenir à jour
- Les logiciels anti-spam
- Le rôle important du poste de travail et de sa protection
- La sécurité et la mobilité
- L’intérêt des audits de sécurité et les tests d’intrusion,
- Le contrôle de l’ensemble des mesures au travers de tableaux de bord et d’une architecture de collecte d’information