Sécurité des systèmes d'information

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuis Sécurité informatique)
Aller à : navigation, rechercher

La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information.

Enjeux de la sécurité des systèmes d'information[modifier | modifier le code]

« Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » [1] .
Plusieurs types d'enjeux doivent être maîtrisés :

  1. L'intégrité : Les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante.
  2. La confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.
  3. La disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation prévues, garantir l'accès aux services et ressources installées avec le temps de réponse attendu.
  4. La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur.
  5. L'authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange.

La sécurité informatique est un défi d'ensemble qui concerne une chaîne d'éléments : les infrastructures matérielles de traitement ou de communication, les logiciels ( systèmes d'exploitation ou applicatifs), les données, le comportement des utilisateurs . Le niveau global de sécurité étant défini par le niveau de sécurité du maillon le plus faible, les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d'information est censé apporter service et appui.

Deux types de dommages peuvent affecter le système d'information d'une organisation:

  1. Les dommages financiers. Sous forme de dommages directs (comme le fait d'avoir à reconstituer des bases de données qui ont disparu, reconfigurer un parc de postes informatiques, réécrire une application) ou indirects (par exemple, le dédommagement des victimes d'un piratage, le vol d'un secret de fabrication ou la perte de marchés commerciaux). Un exemple concret : bien qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux liés au vol de numéros de cartes de crédit, ont été déterminés plus précisément.
  2. La perte ou la baisse de l'image de marque. Perte directe par la publicité négative faite autour d'une sécurité insuffisante (cas de l'hameçonnage par exemple) ou perte indirecte par la baisse de confiance du public dans une société. Par exemple, les techniques répandues de defacing (une refonte d'un site web) permettent à une personne mal intentionnée de mettre en évidence des failles de sécurité sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnérabilités pour diffuser de fausses informations sur son propriétaire (on parle alors de désinformation).

Les conséquences peuvent aussi concerner la vie privée d'une ou plusieurs personnes, notamment par la diffusion d'informations confidentielles comme ses coordonnées bancaires, sa situation patrimoniale, ses codes confidentiels. De manière générale, la préservation des données relatives aux personnes fait l'objet d'obligations légales régies par la Loi Informatique et Libertés.

Pour parer ces éventualités, les responsables de systèmes d'information se préoccupent depuis longtemps de sécuriser les données. Le cas le plus répandu, et sans aucun doute précurseur en matière de sécurité de l'information, reste la sécurisation de l'information stratégique et militaire : le Department of Defense (DoD) des États-Unis est à l'origine du TCSEC, ouvrage de référence en la matière. De même, le principe de sécurité multi-niveau trouve ses origines dans les recherches de résolution des problèmes de sécurité de l'information militaire.

Aujourd'hui, l'hypothèse réaliste demeure que la sécurité ne peut être garantie à 100 % et requiert le plus souvent la mobilisation d'une panoplie de mesures y compris celle des « leurres » reposant sur l'idée qu'interdire ou en tout cas protéger l'accès à une donnée peut consister à fournir volontairement une information « calibrée et visible » servant de paravent à l'information sensible…

Démarche générale[modifier | modifier le code]

Pour sécuriser les systèmes d'information, la démarche consiste à :

  • évaluer les risques et leur criticité : quels risques et quelles menaces, sur quelle donnée et quelle activité, avec quelles conséquences ?
On parle de « cartographie des risques ». De la qualité de cette cartographie dépend la qualité de la sécurité qui va être mise en œuvre.
  • rechercher et sélectionner les parades : que va-t-on sécuriser, quand et comment ?
Etape difficile des choix de sécurité : dans un contexte de ressources limitées (en temps, en compétences et en argent), seules certaines solutions pourront être mises en oeuvre.
  • mettre en œuvre les protections, et vérifier leur efficacité.
C'est l'aboutissement de la phase d'analyse et là que commence vraiment la protection du système d'information. Une faiblesse fréquente de cette phase est d'omettre de vérifier que les protections sont bien efficaces (tests de fonctionnement en mode dégradé, tests de reprise de données, tests d'attaque malveillante, etc.)

Méthodes d'attaque portant atteinte à la sécurité du SI[modifier | modifier le code]

  • Destruction de matériels ou de supports
Sabotage : il vise la mise hors service d'un SI ou de l'une de ses composantes en portant atteinte à l'intégrité des données et surtout à la disponibilité des services.
  • Rayonnements électromagnétiques
Brouillage : C'est une attaque de haut niveau qui vise à rendre le SI inopérant.
  • Écoute passive
Écoute : Elle consiste à se placer sur un réseau informatique ou de télécommunication pour collecter et analyser les informations ou les trames qui y circulent
Interception de signaux compromettants : l'attaquant tente de récupérer un signal électromagnétique pour l'interpréter et en déduire des informations utilisables.
Cryptanalyse : L'attaque de données cryptées est réalisée par interception et analyse des cryptogrammes circulant lors d'une communication ou obtenus par une source quelconque.
  • Vol
Fraude physique  : elle consiste à accéder à l'information par copie illégale des supports physiques ( bandes magnétiques, disquettes, disques classiques ou optiques, listings rangés ou abandonnés imprudemment dans les bureaux, armoires, tiroirs...)
Vol de matériels : concerne les ordinateurs et en particulier les ordinateurs portables.
Analyse de supports recyclés ou mis au rebut : "fouille" des poubelles ou des archives d'une organisation ou détournement des processus de maintenance.
  • Divulgation
Hameçonnage ou filoutage (Phishing)  : désigne l'obtention d'information confidentielle (comme des codes d'accès ou des mots de passe) en prétextant une fausse demande ou en faisant miroiter un pseudo-avantage auprès d'un utilisateur ciblé.
Chantage : menace exercée vis-à-vis d'une personne privée ou d'une organisation en vue d'extorquer une information "sensible".
  • Émission d'une information sans garantie d'origine
Canular (Hoax)  : vise à désinformer en annonçant l'arrivée d'un événement de nature imaginaire mais censé être fortement perturbateur voire catastrophique (virus)
  • Piégeage du logiciel
Bombe : Programme dormant dont l'exécution est conditionné par l'occurrence d'un événement ou d'une date.
Virus  : Programme malicieux capable de faire fonctionner des actions nuisibles pour le SI , et éventuellement de se répandre par réplication à l'intérieur d'un SI. Les conséquences sont le plus souvent la perte d'intégrité des données d'un SI, la dégradation voire l'interruption du service fourni.
Ver : Programme malicieux qui a la faculté de se déplacer à travers un réseau qu'il cherche à perturber en le rendant totalement ou partiellement indisponible.
Piégeage du logiciel : Des fonctions cachées sont introduites à l'insu des utilisateurs à l'occasion de la conception, fabrication, transport ou maintenance du SI
Exploitation d'un défaut (bug) : Les logiciels - en particulier les logiciels standards les plus répandus- comportent des failles de sécurité qui constituent autant d'opportunité d'intrusion indésirables
Canal caché : Type d'attaque de très haut niveau permettant de faire fuir des informations en violant la politique de sécurité du SI. Les menaces peuvent concerner 4 types de canaux cachés : Canaux de stockage, Canaux temporels, Canaux de raisonnement, Canaux dits de "fabrication".
Cheval de Troie : C'est un programme ou un fichier introduit dans un SI et comportant une fonctionnalité cachée connue seulement de l'agresseur. L'utilisation d'un tel programme par l'utilisateur courant permet à l'attaquant de contourner les contrôles de sécurité en se faisant passer pour un utilisateur interne.
Réseau de robots logiciels (Botnet) : réseau de robots logiciels installés sur des machines aussi nombreuses que possible. Les robots se connectent sur des serveurs IRC (Internet Relay chat) au travers desquels ils peuvent recevoir des instructions de mise en œuvre de fonctions non désirées.( envoi de spams, vol d'information, participation à des attaques de saturation ...)
Logiciel espion (spyware): est installé sur une machine dans le but de collecter et de transmettre à un tiers des informations sans que l'utilisateur en ait connaissance.
facticiel: logiciel factice disposant de fonctions cachées
  • Saturation du Système informatique
Perturbation : Vise à fausser le comportement du SI ou à l'empêcher de fonctionner comme prévu (saturation, dégradation du temps de réponse, génération d'erreurs)
Saturation : Attaque contre la disponibilité visant à provoquer un déni de service (remplissage forcé d'une zone de stockage ou d'un canal de communication)
Pourriel (spam) : Envoi massif d'un message non sollicité vers des utilisateurs n'ayant pas demandé à recevoir cette information. Cet usage - non forcément hostile- contribue cependant à la pollution et à la saturation des systèmes de messagerie.
  • Utilisation illicite des matériels
Détournement d'utilisation normale : Utilise un défaut d'implantation ou de programmation de manière à faire exécuter à distance par la machine victime un code non désiré, voire malveillant.
Fouille : En cas de mauvaise gestion des protections informatiques, celles-ci peuvent être contournées et laisser accéder aux fichiers de données par des visiteurs non autorisés.
Mystification : Simulation du comportement d'une machine pour tromper un utilisateur légitime et s'emparer de son nom et mot de passe
Trappe : Fonctionnalité utilisée par les développeurs pour faciliter la mise au point de leurs programmes. Lorsqu'elle n'est pas enlevée avant la mise en service du logiciel, elle peut être repérée et servir de point de contournement des mesures de sécurité.
Asynchronisme : Ce mode de fonctionnement crée des files d'attente et des sauvegardes de l'état du système. Ces éléments peuvent être détectés et modifiés pour contourner les mesures de sécurité
Souterrain : Attaque ciblée sur un élément supportant la protection du SI et exploitant une vulnérabilité existant à un niveau plus bas que celui utilisé par le développeur pour concevoir/tester sa protection.
Salami : Comportement d'un attaquant qui collecte des informations de manière parcellaire et imperceptible, afin de les synthétiser par la suite en vue d'une action rapide. (méthode fréquemment utilisée pour les détournements de fonds)
Inférence sur les données : L'établissement d'un lien entre un ensemble de données non sensibles peut permettre dans certains cas de déduire quelles sont les données sensibles.
  • Altération des données
Interception : C'est un accès avec modification des informations transmises sur les voies de communication avec l'intention de détruire les messages, de les modifier, d'insérer des nouveaux messages, de provoquer un décalage dans le temps ou la rupture dans la diffusion des messages.
Balayage (scanning): La technique consiste à envoyer au SI des informations afin de détecter celles qui provoquent une réponse positive. Par suite l'attaquant peut analyser les réponses reçues pour en dégager des informations utiles voire confidentielles ( nom des utilisateurs et profil d'accès )
  • Abus de Droit
Abus de droit : caractérise le comportement d'un utilisateur bénéficiaire de privilèges systèmes et/ou applicatifs qui les utilise pour des usages excessifs, pouvant conduire à la malveillance.
  • Usurpation de Droit
Accès illégitimes : Lorsqu'une personne se fait passer occasionnellement pour une autre en usurpant son identité
Déguisement : Désigne le fait qu'une personne se fait passer pour une autre de façon durable et répétée en usurpant son identité, ses privilèges ou les droits d'une personne visée.
Rejeu : Variante du déguisement qui permet à un attaquant de pénétrer un SI en envoyant une séquence de connexion d'un utilisateur légitime et enregistrée à son insu.
Substitution : Sur des réseaux comportant des terminaux distants, l'interception des messages de connexion-déconnexion peut permettre à un attaquant de continuer une session régulièrement ouverte sans que le système ne remarque le changement d'utilisateur.
Faufilement : Cas particulier où une personne non autorisée franchit un contrôle d'accès en même temps qu'une personne autorisée.
  • Reniement d'actions
Le reniement (ou répudiation) consiste pour une partie prenante à une transaction électronique à nier sa participation à tout ou partie de l'échange d'informations, ou à prétendre avoir reçu des informations différentes (message ou document) de ceux réputés avoir été réalisés dans le cadre du SI.

Évaluation des risques[modifier | modifier le code]

Tenter de sécuriser un système d'information revient à essayer de se protéger contre les menaces intentionnelles ( voir | Guide des menaces intentionnelles) et d'une manière plus générale contre tous les risques pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite.

Méthodes d'analyse de risque[modifier | modifier le code]

Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les trois principales méthodes d'évaluation disponibles sur le marché français :

  • la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ;
  • la méthode MEHARI (Méthode harmonisée d'analyse des risques), développée par le CLUSIF ;
  • la méthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l'Université de Carnegie Mellon (USA).

La société MITRE, qui travaille pour le Département de la Défense des États-Unis, a aussi développé en 1998 une méthode d'évaluation des menaces et des vulnérabilités appliquée à l'industrie aérospatiale, et pouvant être généralisée aux infrastructures critiques : NIMS (NAS Infrastructure Management System, NAS signifiant National Aerospace).

Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent varier. Ceux utilisés ci-dessous sont globalement inspirés de la méthode Feros.

Paradoxalement, dans les entreprises, la définition d'indicateurs « sécurité du SI » mesurables, pertinents et permettant de définir ensuite des objectifs dans le temps, raisonnables à atteindre, s'avère délicate. S'il s'agit d'indicateurs de performances, on peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir et à apprécier, à preuve ceux sur les « alertes virales »[évasif].

Informations sensibles[modifier | modifier le code]

Article détaillé : Sécurité des données.

Avant de tenter de se protéger, il convient de déterminer quelles sont les informations sensibles de l'entreprise, qui peuvent être des données, ou plus généralement des actifs représentés par des données. Chaque élément pourra avoir une sensibilité différente.

Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine informationnel à protéger.

Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments sensibles.

Critères de sécurité[modifier | modifier le code]

La sécurité peut s'évaluer suivant plusieurs critères :

  • Disponibilité : garantie que ces éléments considérés sont accessibles au moment voulu par les personnes autorisées.
  • Intégrité : garantie que les éléments considérés sont exacts et complets.
  • Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments considérés.

D'autres aspects peuvent éventuellement être considérés comme des critères (bien qu'il s'agisse en fait de fonctions de sécurité), tels que :

  • Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.

Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent être estimés en fonction des menaces qui pèsent sur les éléments à protéger. Il faut pour cela estimer :

  • la gravité des impacts au cas où les risques se réaliseraient,
  • la vraisemblance des risques (ou leur potentialité, ou encore leur probabilité d'occurrence).

Dans la méthode EBIOS, ces deux niveaux représentent le niveau de chaque risque qui permet de les évaluer (les comparer).

Dans la méthode MEHARI, le produit de l'impact et de la potentialité est appelé « gravité ». D'autres méthodes utilisent la notion de « niveau de risque » ou de « degré de risque ».

Menaces[modifier | modifier le code]

Les principales menaces auxquelles un système d’information peut être confronté sont :

  • un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information a pour origine un utilisateur, généralement insouciant. Il n'a pas le désir de porter atteinte à l'intégrité du système sur lequel il travaille, mais son comportement favorise le danger ;
  • une personne malveillante : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes auxquels elle n'est pas censée avoir accès. Le cas fréquent est de passer par des logiciels utilisés au sein du système, mais mal sécurisés;
  • un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ; des données confidentielles peuvent être collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ;
  • un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.

Objectifs[modifier | modifier le code]

Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de sécurité. Ces objectifs sont l'expression de l'intention de contrer des risques identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un objectif peut porter sur le système cible, sur son environnement de développement ou sur son environnement opérationnel. Ces objectifs pourront ensuite être déclinés en fonctions de sécurité, implémentables sur le système d'information.

Moyens de sécurisation d'un système[modifier | modifier le code]

Conception globale[modifier | modifier le code]

La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.

Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :

Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).

Défense en profondeur[modifier | modifier le code]

Article détaillé : Défense en profondeur.

Tout droit sorti d'une pratique militaire ancienne et toujours d'actualité, le principe de défense en profondeur revient à sécuriser chaque sous-ensemble du système, et s'oppose à la vision d'une sécurisation du système uniquement en périphérie. De façon puriste, le concept de défense en profondeur signifie que les divers composants d'une infrastructure ou d'un système d'information ne font pas confiance aux autres composants avec lesquels ils interagissent. Ainsi, chaque composant effectue lui-même toutes les validations nécessaires pour garantir la sécurité. En pratique, ce modèle n'est appliqué que partiellement puisqu'il est habituellement impraticable de dédoubler tous les contrôles de sécurité. De plus, il peut même être préférable de consolider plusieurs contrôles de sécurité dans un composant réservé à cette fin. Ce composant doit alors être considéré comme étant sûr par l'ensemble du système.

Politique de sécurité[modifier | modifier le code]

La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés.

La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :

  • élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation (autour de l'informatique) ;
  • définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
  • sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations ;
  • préciser les rôles et responsabilités.

La politique de sécurité est donc l'ensemble des orientations suivies par une entité en matière de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.

Responsable de la sécurité du système d'information[modifier | modifier le code]

Cela étant, en France, ce sont principalement les grandes sociétés, entreprises du secteur public et administrations qui ont désigné et emploient, à plein temps ou non, des « responsables de la sécurité des systèmes d'information ». Les tâches de la fonction dépendent du volontarisme politique ; les cadres ou techniciens concernés ont en général une bonne expérience informatique alliée à des qualités de pédagogie, conviction, etc. Peu à peu, le management de la sécurité informatique s'organise en domaines ou sous-domaines des services informatiques ou d'état-major ; ils sont dotés de moyens financiers et humains et intègrent les contrats de plan ou de programmes de l'entreprise.

Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers ou au RSSI (responsable de la sécurité des systèmes d'information), si ce poste existe au sein de l'organisation. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en matière de sécurité.

Modèles formels de sécurité[modifier | modifier le code]

Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau E4 de TCSEC au minimum), nous définissons formellement le concept de sécurité dans un modèle dont les objectifs sont les suivants :

  • exprimer les besoins de sécurités intégrées dans un contexte informatique,
  • fournir des moyens pour justifier que le modèle est cohérent,
  • fournir des moyens permettant de convaincre que les besoins sont satisfaits,
  • fournir des méthodes permettant de concevoir et d'implanter le système.

Il existe plusieurs modèles formels de sécurité :

  • Le modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques. Les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles : celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité et intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique).
  • Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés.

Plan de continuité d'activité[modifier | modifier le code]

Face à la criticité croissante des systèmes d'information au sein des entreprises, il est aujourd'hui indispensable de disposer d'un plan de sécurisation de l'activité.

Ce plan se décline en deux niveaux distincts :

  • le plan de reprise d'activité (PRA) aussi appelé reprise « à froid » qui permet un redémarrage « rapide » de l'activité après un sinistre, avec restauration d'un système en secours avec les données de la dernière sauvegarde
  • le plan de continuité d'activité (PCA) également appelé reprise "à chaud" qui, par une redondance d'infrastructure et une réplication intersites permanente des données, permet de maintenir l'activité en cas de sinistres majeur de l'un des sites.

Chacun de ces plans tente de minimiser les pertes de données et d'accroitre la réactivité en cas de sinistre majeur ; un PCA efficace, doit en principe, être quasi-transparent pour les utilisateurs, et garantir l'intégrité des données sans aucune perte d'information.

La mise en œuvre de telle ou telle solution est souvent déterminée par les contraintes fonctionnelles et budgétaires.

Moyens techniques[modifier | modifier le code]

De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en matière de sécurité du système d'information :

Marché de la sécurité informatique[modifier | modifier le code]

En 2011, le marché mondial représentait un chiffre d'affaires mondial de 17,7 milliards de dollars selon la société d'étude Gartner. Le leader de ce marché était le groupe californien Symantec avec 20 % des parts de marché, suivi de McAfee (7 %), puis Trend Micro (6,8%) et IBM (5 %)[2]. À titre de comparaison sur la même période, IDC classait premier Symantec ($3,6 milliards), puis Cisco ($1,7 milliard), McAfee ($1,7 milliard) suivi d’IBM, Check Point et Trend Micro (avec pour chacun environ $1,2 milliard de part de marché).

En 2007, Kaspersky couvrait 38 % du marché français de l'anti-virus et 18 % des suites de protection pour l'Internet.

Avec une offre de services globale, Thales Communications & Security est un acteur majeur de la cybersécurité et de la cyberdéfense s’adressant aux grandes organisations (États, grandes entreprises, infrastructures critiques)[3].

Dépenses gouvernementales[modifier | modifier le code]

Voici à titre de comparaison les budgets de quelques agences gouvernementales qui s'intéressent à la cybersécurité :

Notes et références[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

Bibliographie[modifier | modifier le code]

  1. clusif.asso.fr

Sur les autres projets Wikimedia :

  • Daniel Guinier, Sécurité et qualité des systèmes d'information - Approche systémique, Masson,‎ 1992
  • Laurent Bloch et Christophe Wolfhugel, Sécurité informatique - Principes et méthode, Eyrolles,‎ 2011