Titre
Soustitre
|
||||
| |
La sécurité informatique ne consiste pas à chasser les virus, les espions, la publicité, les pirates etc. ... Ceci n'est que la partie triviale de la chose et la partie visible d'un iceberg. D'autres comportements et actions sont les pilliers de la sécurité informatique, bien en amont des basses besognes confiées aux anti-quelque chose.
La sécurité informatique n'est jamais atteinte à 100% - elle ne s'achête pas d'une manière complète et définitive.
La sécurité informatique confiée à des programmes informatiques est d'emblée en échec car il n'existe pas de programme 100% sûr (sans faille, sans erreur...) et l'élément clé de la sécurité, qui se trouve entre la chaise et le clavier, est le point faible du processus sécuritaire.
La sécurité informatique passe par :
Le comportement de l'utilisateur
La sauvegarde des données afin de pouvoir les restaurer en cas d'accident (peu importe la nature de l'accident - vol du matériel, vieillissement avec panne irrécupérable, incendie, dégat des eaux etc. ...)
L'intégrité des données (modifications, effacement, corruptions... volontaires ou non)
La confiance dans les données - la non répudiation.
La mise à jour des logiciels (dont l'application de tous les correctifs apportés aux failles de sécurité connues).
La mise en oeuvre d'outils préventifs
La sécurité informatique peut se résoudre à une juste appréciation du risque encouru. Vous devez imaginez que vous êtes face à votre assureur, en train de négocier une police d'assurance Perte de données / Perte de matériel. Si la perte du matériel est facilement évaluable (présentation des factures du matériel et des logiciels), la perte des données porte sur un contenu sémantique difficilement évaluable. La question à se poser est : si je perds mes données, qu'est ce que cela me coûte pour les reconstituer - si tant est qu'elles puissent l'être !. Quels sont les moyens que je vais mettre en oeuvre pour diminuer ce risque ? Quels sont les arbitrages que je dois faire lorsqu'une contre mesure à un risque est d'un coût élevé ? Quels sont les risques résiduels que je ne peux couvrir ? La sécurité informatique consiste donc à prendre le moindre risque tout en sachant que le risque zéro n'existe pas. Je dois donc faire un compromis entre le coût des attaques et le coûts des contre-mesures. Dépenser une fortune pour protéger une collection de films piratés n'a aucun sens - autant les acheter. Ne rien dépenser lorsque les données sont vitales est une folie.
Le traitement de l'information et, surtout, l'ouverture du système d'informations vers le monde extérieur, vers l'Internet, constitue une prise de risque. Ce risque s'évalue par une équation simple dont le résultat n'est jamais parfait (égal à 1) et qui exprime le risque résiduel que je prend, les impasses que je fais, car le coût de sa couverure et sans commune mesure avec le profit que j'en tirerais :
La sécurité informatique n'est jamais atteinte à 100% - elle ne s'achête pas d'une manière complète et définitive.
La sécurité informatique confiée à des programmes informatiques est d'emblée en échec car il n'existe pas de programme 100% sûr (sans faille, sans erreur...) et l'élément clé de la sécurité, qui se trouve entre la chaise et le clavier, est le point faible du processus sécuritaire.
La sécurité informatique passe par :
Le comportement de l'utilisateur
La sauvegarde des données afin de pouvoir les restaurer en cas d'accident (peu importe la nature de l'accident - vol du matériel, vieillissement avec panne irrécupérable, incendie, dégat des eaux etc. ...)
L'intégrité des données (modifications, effacement, corruptions... volontaires ou non)
La confiance dans les données - la non répudiation.
La mise à jour des logiciels (dont l'application de tous les correctifs apportés aux failles de sécurité connues).
La mise en oeuvre d'outils préventifs
La sécurité informatique peut se résoudre à une juste appréciation du risque encouru. Vous devez imaginez que vous êtes face à votre assureur, en train de négocier une police d'assurance Perte de données / Perte de matériel. Si la perte du matériel est facilement évaluable (présentation des factures du matériel et des logiciels), la perte des données porte sur un contenu sémantique difficilement évaluable. La question à se poser est : si je perds mes données, qu'est ce que cela me coûte pour les reconstituer - si tant est qu'elles puissent l'être !. Quels sont les moyens que je vais mettre en oeuvre pour diminuer ce risque ? Quels sont les arbitrages que je dois faire lorsqu'une contre mesure à un risque est d'un coût élevé ? Quels sont les risques résiduels que je ne peux couvrir ? La sécurité informatique consiste donc à prendre le moindre risque tout en sachant que le risque zéro n'existe pas. Je dois donc faire un compromis entre le coût des attaques et le coûts des contre-mesures. Dépenser une fortune pour protéger une collection de films piratés n'a aucun sens - autant les acheter. Ne rien dépenser lorsque les données sont vitales est une folie.
Le traitement de l'information et, surtout, l'ouverture du système d'informations vers le monde extérieur, vers l'Internet, constitue une prise de risque. Ce risque s'évalue par une équation simple dont le résultat n'est jamais parfait (égal à 1) et qui exprime le risque résiduel que je prend, les impasses que je fais, car le coût de sa couverure et sans commune mesure avec le profit que j'en tirerais :
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music