GÉNÉRALITÉS SUR LA SÉCURITÉ INFORMATIQUE

I. Introduction

La sécurité informatique est une discipline qui se veut de protéger l’intégrité et la confidentialité
des informations stockées dans un système informatique.
La sécurité des systèmes d’information (SSI) ou plus simplement sécurité informatique, est
l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la
mise en place de moyens visant à empêcher l'utilisation non autorisée, le mauvais usage, la
modification ou le détournement du système d'information. Assurer la sécurité du système
d'information est une activité du management du système d'information.
La sécurité informatique consiste à protéger un système informatique contre toute violation,
intrusion, dégradation ou vol de données au sein du système d’information.
Avec l’essor d’internet, et l’utilisation par la majorité des entreprises et des organisations de
processus informatisés, les menaces visant les systèmes d’informations n’ont cessés
d’augmenter et de se sophistiquer, faisant aujourd’hui de la sécurité informatique une nécessité
pour tous les types de structure.

II. Objectifs de la sécurité informatique

Le système d'information (SI) est un ensemble organisé de ressources qui permet de collecter,
stocker, traiter et distribuer l'information, en général grâce à un réseau d’ordinateurs. Le
système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de
protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources
matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :
 L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ;
 La confidentialité, consistant à assurer que seules les personnes autorisées aient accès
aux ressources échangées ;
 La disponibilité, permettant de maintenir le bon fonctionnement du système
d'information ;
 La non répudiation, permettant de garantir qu'une transaction ne peut être niée ;
 L'authentification, consistant à assurer l’identité ou l’identification de l’émetteur de
l’information.

II.1 Disponibilité
La disponibilité d’une ressource est relative à la période de temps pendant laquelle le service
qu’elle offre est opérationnel. Le volume potentiel de travail susceptible d’être pris en charge
durant la période de disponibilité d’un service détermine la capacité d’une ressource à être
utilisée.

Il ne suffit pas qu’une ressource soit disponible, elle doit pouvoir être utilisable avec des temps
de réponse acceptables. Sa disponibilité est indissociable de sa capacité à être accessible par
l’ensemble des ayants droit (notion d’accessibilité).

La disponibilité des services, systèmes et données est obtenue par un dimensionnement

approprié et une certaine redondance ainsi que par une gestion opérationnelle et une
maintenance efficaces des ressources.

Un service nominal doit être assuré avec le minimum d’interruption, il doit respecter les clauses
de l’engagement de service établies sur des indicateurs dédiés à la mesure de la continuité de
service. Des pertes ou destruction de données, donc une indisponibilité de celles-ci, sont
possibles si les procédures de sauvegarde et de restitution ainsi que les supports de
mémorisation associés ne sont pas gérés correctement ou s’il y a malveillance. Une politique
de sauvegarde ainsi qu’un arbitrage entre le coût de la sauvegarde et celui du risque
d’indisponibilité, supportable par l’organisation doivent être préalablement établis pour que la
mise en œuvre des mesures techniques soit efficient.

II.2 Intégrité

Le critère d’intégrité des ressources physiques et logiques (équipements, données, traitements,

transactions, services) est relatif au fait qu’elles sont demeurées intactes, qu’elles n’ont pas été
détruites ou modifiées à l’insu de leurs propriétaires tant de manière intentionnelle,
qu’accidentelle. Préserver l’intégrité des ressources et s’assurer que des ressources sont intègres
sont l’objet de mesures de sécurité. Ainsi, se prémunir contre l’altération des données et avoir
la certitude qu’elles n’ont pas été modifiées collabore à la qualité des prises de décision basées
sur celles-ci.

Si en télécommunication, l’intégrité des données relève essentiellement de problématiques liées

au transfert de données, elle dépend également des aspects purement informatiques de
traitement de l’information (logiciels d’application, systèmes d’exploitation, environnements
d’exécution, procédures de sauvegarde, de reprise et de restauration des données). Des contrôles
d’intégrité, par la mise en œuvre de mécanismes cryptographiques peuvent être effectués pour
s’assurer que les données n’ont pas été modifiées lors de leur transfert par des cyberattaques.

II.3 Confidentialité

La notion de confidentialité est liée au maintien du secret, elle est réalisée par la protection
des données contre une divulgation non autorisée (notion de protection en lecture).

Il existe deux types d’actions complémentaires permettant d’assurer la confidentialité des

données :

 Limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à les
modifier puissent le faire ;
  Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont pas
autorisées à les déchiffrer ne puissent les utiliser.

II.4 Fonctions additionnelles

Identifier l’auteur présumé d’un tableau signé est une chose, s’assurer que le tableau est
authentique en est une autre. Il en est de même en informatique, où des procédures
d’identification et d’authentification peuvent être mises en œuvre pour contribuer à réaliser
des mesures de sécurité assurant :

 La confidentialité et l’intégrité des données : seuls les ayants droit identifiés et

authentifiés sont habilités à accéder aux ressources (notion de contrôle d’accès) ;
 La non-répudiation et l’imputabilité : seules les entités identifiées et authentifiées ont
pu réaliser une certaine action (notion de preuve, preuve de l’origine d’un
message, etc.).

L’identification et l’authentification des ressources et des utilisateurs permettent d’associer la

réalisation d’une action à une entité qui pourra en être tenue responsable et éventuellement en
rendre compte.

L’enregistrement des activités permettent la traçabilité des événements et leur analyse. Garder
la mémoire des actions survenues permet notamment de reconstituer et de comprendre ce qui
s’est passé lors d’incidents afin d’améliorer la sécurité, d’éviter que des erreurs ne se répètent
ou d’identifier des fautifs. Cela autorise par exemple d’analyser le comportement du système
et des utilisateurs à des fins d’optimisation, de gestion des incidents et des performances ou
encore d’audit. L’enregistrement des actions et événements permet également d’enrichir les
bases de données qui permettent de développer des applications de surveillance, de détection
et de réaction aux incidents, en particulier à l’aide des techniques issues de l’inteligence
artificielle.

L’authentification permet de vérifier l’identité d’une entité afin de s’assurer de son

authenticité. Pour cela, l’entité devra prouver son identité, le plus souvent en donnant une
information spécifique qu’elle est censée être seule à détenir telle que, par exemple, un mot de
passe ou une empreinte biométrique.

Tous les mécanismes de contrôle d’accès logique aux ressources informatiques nécessitent de
gérer l’identification, l’authentification des entités et la gestion des droits et permissions
associés. C’est également sur la base de l’identification des personnes et des accès aux
ressources que s’établissent des fonctions de facturation et de surveillance.

La non-répudiation est le fait de ne pouvoir nier ou rejeter qu’un événement (action,

transaction) a eu lieu. À ce critère de sécurité peuvent être associées les notions d’imputabilité,
de traçabilité ou encore parfois d’auditabilité.

Attribuer une action à une entité déterminée (ressource ou personne) relève de l’imputabilité,
qui peut être réalisée par un ensemble de mesures garantissant l’enregistrement fiable
d’informations pertinentes relatives à un événement.

La traçabilité permet de reconstituer une séquence d’événements à partir des données

numériques laissées dans les systèmes lors de leurs réalisations. Cette fonction comprend
l’enregistrement des opérations, de la date de leur réalisation et leur imputation. Elle permet,
par exemple, de retrouver l’adresse IP d’un système à partir duquel des données ont été
envoyées. Afin de garder la trace d’événements, on recourt à des solutions qui permettent de
les enregistrer (de les journaliser), à la manière d’un journal de bord, dans des fichiers (log).

L’auditabilité d’un système se définit par sa capacité à garantir la présence d’informations

nécessaires à une analyse, postérieure à la réalisation d’un événement (courant ou
exceptionnel), effectuée dans le cadre de procédures de contrôle et d’audit. L’audit peut être
mis en œuvre pour diagnostiquer ou vérifier l’état de la sécurité d’un système, pour déterminer
s’il y a eu ou non violation de la politique de sécurité, quelles sont les ressources compromises,
ou encore par exemple pour déceler et examiner les événements susceptibles de constituer des
menaces de sécurité.

Les coûts liés à la journalisation et à l’analyse des données n’étant pas négligeables et la
capacité mémoire des journaux n’étant pas infinie (même s’il y a recours à des infrastcrutures
de stockage dans le Cloud), l’administrateur système ou le responsable sécurité ont tout intérêt
à identifier les événements pertinents, qui pourront faire l’objet d’analyse ultérieure lors de la
survenue d’incidents, de procédures d’audit ou d’actions en justice.

La durée de rétention des informations contenues dans ces journaux peut être fixée par des
réglementations sectorielles ou par la loi. C’est le cas par exemple pour les fournisseurs d’accès
et de services Internet, qui doivent garder toutes les données de connexion des internautes,
durant une période variable selon les règlementations auxquelles ils sont soumis (généralement
entre 6 mois et 2 ans).

III. Domaines d’application

Toutes les sphères d’activité de l’informatique et des réseaux de télécommunication sont

concernées par la sécurité informatique. En fonction de son domaine d’application, celle-ci peut
se décliner en (figure 1.2) :

 sécurité matérielle, physique et environnementale ;

 sécurité logique, sécurité applicative et sécurité de l’information ;
 sécurité de l’exploitation ;
 sécurité des réseaux de télécommunication ;

 cybersécurité.

III.1 Sécurité matérielle, physique et environnementale

La sécurité matérielle, physique et environnementale concerne tous les aspects liés à la

sécurité des composants, équipements et systèmes et de l’environnement dans lequel ils se
situent.

Sans vouloir être exhaustif, nous retiendrons que la sécurité physique repose essentiellement
sur :
  la fiabilité des matériaux (éléments matériels constitutifs des systèmes) et usage
d’équipements qui possèdent un bon degré de sûreté de fonctionnement, de fiabilité et
de robustesse ;
 protection des sources énergétiques et de la climatisation (alimentation électrique,
refroidissement, etc.) ;
 la protection de l’environnement (mesures ad hoc notamment pour faire face aux risques
d’incendie, d’inondation ou encore de tremblement de terre, pour respecter les
contraintes liées à la température, à l’humidité, etc.) ;
 des mesures de gestion et de contrôle des accès physiques aux locaux, équipements et
infrastructures (avec entre autres la traçabilité des entrées et une gestion rigoureuse des
clés d’accès aux locaux et des personnes qui y accèdent) ;
 la redondance physique des infrastructures et des sources énergétiques ;
 le marquage des matériels pour notamment contribuer à dissuader le vol de matériel et
éventuellement le retrouver ;
 le plan de maintenance préventive (tests, etc.) et corrective (pièces de rechange, etc.)
des équipements, ce qui relève également de la sécurité de l’exploitation des
environnements.

III.2 Sécurité logique, applicative et de l’information

La sécurité logique fait référence à la réalisation de mécanismes de sécurité par logiciel

contribuant au bon fonctionnement des programmes, des services offerts et à la protection des
données. Elle s’appuie généralement sur :

 la qualité des développements logiciels et des tests de sécurité ;

 une mise en œuvre adéquate de la cryptographie pour assurer intégrité et
confidentialité ;
 des procédures de contrôle d’accès logique et d’authentification ;
 des procédures de détection de logiciels malveillants, de détection d’intrusions et
d’incidents ;
 mais aussi sur un dimensionnement suffisant des ressources, une certaine redondance
ainsi que sur des procédures de sauvegarde et de restitution des informations sur des
supports fiables, éventuellement spécialement protégés et conservés dans des lieux
sécurisés pour les applications et données critiques.

La sécurité logique fait également référence à la sécurité applicative qui doit tenir compte des
besoins de sécurité dans le développement et l’implémentation des logiciels, et satisfaire à des
exigences de sécurité et de qualité (Security by design).

La sécurité applicative comprend le développement pertinent de solutions logicielles

(ingénierie, qualité du logiciel, développé sans vulnérabilité) ainsi que leur intégration et
exécution harmonieuses dans des environnements opérationnels. Elle repose essentiellement
sur l’ensemble des facteurs suivants :

 une méthodologie de développement (en particulier le respect des normes de

développement propres à la technologie employée et aux contraintes de sécurité et
d’exploitabilité) ;
 la robustesse des applications ;
 des contrôles et des jeux de tests ;
  l’intégration de mécanismes de sécurité, d’outils d’administration et de contrôle de
qualité dans les applications ;
 la sécurité des progiciels (choix des fournisseurs, interface sécurité, etc.) ;
 l’élaboration et la gestion des contrats (les relations avec des sous-traitants éventuels
comprenant des clauses d’engagement de responsabilité) ;
 un plan de migration des applications critiques ;
 la validation et l’audit des programmes ;
 la qualité et la pertinence des données.

Bien protéger l’information, c’est avant tout comprendre son rôle, son importance stratégique
dans l’impact des décisions et des actions qu’elle permet de prendre et d’effectuer. C’est
également assurer son exactitude et sa pérennité pour le temps nécessaire à son exploitation
et à son archivage. Une classification des données permet de qualifier leur degré de sensibilité
(normale, confidentielle, etc.) et de les protéger en fonction de ce dernier. Ainsi, à partir d’un
tableau mettant en relation le type de données et leur degré de sensibilité, la nature et le nombre
de protections peuvent être déterminés et des mesures de sécurité ad hoc développées. Par
ailleurs, du point de vue de l’utilisateur, une bonne sécurité doit lui assurer le respect de son
intimité numérique et la protection de ses données personnelles (privacy by default).

III.3 Sécurité de l’exploitation

La sécurité de l’exploitation doit permettre un bon fonctionnement opérationnel des systèmes

informatiques et des réseaux de télécommunication. Cela comprend la mise en place d’outils et
de procédures relatifs aux méthodologies d’exploitation, de maintenance, de test, de diagnostic,
de gestion des performances, de gestion des changements et des mises à jour.

La sécurité de l’exploitation dépend fortement de son degré d’industrialisation, qui est

qualifié par le niveau de supervision des applications et l’automatisation des tâches de
maintenance. Bien que relevant de la responsabilité de l’exploitation, ces conditions concernent
directement la conception et la réalisation des applications elles-mêmes et leur intégration dans
un système d’information.

Les points clés de la sécurité de l’exploitation sont les suivants :

 gestion du parc informatique ;

 gestion des configurations et des mises à jour ;
 gestion des incidents et suivi jusqu’à leur résolution ;
 gestion des performances ;
 gestion des sauvegardes, des secours et de la continuité ;
 gestion de la maintenance et des contrats de maintenance ;
 gestion des logs et des fichiers de journalisation.

La maintenance doit être préventive et régulière, et selon les besoins conduire à des actions de
réparation ou de remplacement des éléments défectueux.

Au-delà du coût d’une panne entraînant le remplacement des équipements, le risque

d’exploitation se traduit par une interruption de service ou une perte de données qui peuvent
avoir des conséquences préjudiciables pour l’entreprise. Cela peut aussi comprendre l’usage
abusif, détourné ou criminel des outils et procédures d’administration des systèmes.
La sécurité de l’exploitation peut, dans une certaine mesure, rejoindre celles des
télécommunications, car c’est au niveau des procédures d’exploitation que sont fixés les
paramètres servant à la facturation de l’utilisation des ressources. Toutefois, ceci est plus
spécifiquement relatif à la gestion de la comptabilité et à la maîtrise du risque financier. C’est
également lors de l’exploitation des ressources que l’on vérifie l’adéquation du niveau de
service offert, par rapport à celui spécifié dans un contrat de service et à sa facturation.

III.4 Sécurité des réseaux de télécommunication

La sécurité des télécommunications consiste à offrir à l’utilisateur final et aux applications

communicantes, une connectivité fiable de « bout en bout ». Cela passe par la réalisation d’une
infrastructure réseau sécurisée au niveau des accès au réseau et du transport de l’information
(sécurité de la gestion des noms et des adresses, sécurité du routage, sécurité des transmissions
à proprement parler). Cela s’appuie sur des mesures architecturales adaptées, l’usage de plates-
formes matérielles et logicielles sécurisées et une gestion de réseau de qualité.

La sécurité des télécommunications ne peut à elle seule garantir la sécurité des informations.
Elle ne constitue qu’un maillon de la chaîne sécuritaire car il est également impératif de
sécuriser l’infrastructure informatique dans laquelle s’exécutent les programmes. Pris au
sens large, cela comprend la sécurité physique et environnementale des systèmes (figure 1.3).

Pour que les infrastructures informatiques et télécoms soient cohérentes, performantes et

sécurisées de manière optimale, l’infrastructure de sécurité (outils, procédures, mesures) et
la gestion de la sécurité doivent être réalisées de manière sécurisée. Les solutions de sécurité
doivent être également sécurisées (notion de récursivité de la sécurité).

La sécurité des télécommunications est peu différente de celle que l’on doit mettre en œuvre
pour protéger les ordinateurs. Les réseaux télécommunication ne sont pas plus vulnérables que
les systèmes d’extrémité ou que les personnes qui les conçoivent, les gèrent ou les utilisent.

Un environnement informatique et de télécommunication sécurisé implique la sécurisation de

tous les éléments qui le composent. La sécurité globale est toujours celle du maillon le plus
faible. Implanter des mécanismes de chiffrement pour rendre les données transférées
confidentielles est de peu d’utilité si d’aucuns peuvent y accéder lorsqu’elles sont manipulées
par des plates-formes matérielles et logicielles non correctement sécurisées.

L’implantation de mesures de sécurité doit répondre à des besoins de sécurité clairement

identifiés à la suite d’une analyse des risques spécifiquement encourus par une organisation.
Les besoins s’expriment en termes d’exigences de sécurité à satisfaire dans la politique de
sécurité. De plus, un système sécurisé, mobilisant d’importants moyens sécuritaires, aussi
pertinents soient-ils, ne pourra être efficace que s’il s’appuie sur des personnes intègres et sur
un code d’utilisation adéquat des ressources informatiques pouvant être formalisé par une
charte de sécurité. Souplesse et confiance réciproque ne peuvent se substituer à la rigueur et au
contrôle imposés par le caractère stratégique des enjeux économiques et politiques que doivent
satisfaire les systèmes d’information.
La confiance qu’une personne peut accorder à une entité relève du sentiment qui fait qu’elle
peut se fier, à tort ou à raison, à cette dernière. La confiance n’exclut pas le contrôle ! La
sécurité, en tant que propriété d’un système, peut être qualifiable (notion d’assurance de sécurité
qui fait référence à la quantification de la qualité de la sécurité).

III.5 Cybersécurité

L’objet de la cybersecurité est de maîtriser les risques liés à l’usage du numérique et du

cyberespace. Cela concerne toutes les infrastructures, tous les systèmes d’information, services
et données ainsi que tous les acteurs qui dépendent du numérique. Désormais, toutes les
activités de la société intègrent un élément de traitement informatisé dont il faut assurer le bon
fonctionnement, la cohérence, la sûreté de fonctionnement, la fiabilité, la sécurité et la résilience
(figure 1.4).

La sûreté de fonctionnement (safety) caractérise un système qui est sûr et dont le bon
fonctionnement peut être garanti. La fiabilité (reliability) est son aptitude à fonctionner sans
incident pendant un temps donné. Le système possède un comportement fiable, prévisible,
auquel on peut se fier. Sûreté et fiabilité sont des composantes de la sécurité des systèmes qui
devraient être immunisés contre des programmes malveillants. Protégés et robustes, les
systèmes interconnectés peuvent offrir des services aux utilisateurs, dont les programmes et
données sont traités en toute innocuité (qualité de ce qui n’est pas nuisible). Cela permet
d’atteindre un certain état de sécurité et de développer la confiance des usagers envers les
infrastructures numériques.

IV Multiples facettes de la cybersécurité

IV.1 Cybermenace et cyberrisque

Une menace est un signe par lequel se manifeste ce que l’on doit craindre. Une cybermenace
est une menace qui s’exprime via le cyberespace, qui peut toucher tout système connecté à
Internet. Sa concrétisation par une cyberattaque, peut affecter le bon fonctionnement des
ordinateurs, des réseaux de télécommunication et de tous les services et activités humaines qui
en dépendent.

Les cybermenaces sont le plus souvent associées à l’usage malveillant des technologies Internet
et à la cybercriminalité. De nombreuses cyberattaques existent, elles recouvrent des réalités
diverses en fonction des cibles touchées, de leurs impacts, finalités, origines et auteurs. Il est
primordial de pouvoir identifier au plus tôt les indicateurs, y compris les signaux faibles, qui
permettent d’anticiper l’apparition de cybermenaces, afin d’empêcher leur réalisation ou de
diminuer leur occurrence de survenue ou la gravité de leurs impacts.

Dès lors que des menaces et des vulnérabilités existent, il y a un risque relatif à l’éventualité
qu’un événement non sollicité survienne et provoque des conséquences préjudiciables.
Toutefois, un risque peut également être porteur d’opportunités et générer des bénéfices pour
l’entité qui l’assume.

Un risque est un danger plus ou moins prévisible relatif à des menaces et à des vulnérabilités.
L’évaluation d’une menace tient compte de l’ampleur et de l’importance des dégâts qu’elle
peut occasionner si elle devient réalité. Cela s’exprime le plus souvent par un degré de
dangerosité, qui de manière habituelle peut se catégoriser en trois niveaux : faible, moyen et
élevé.

Dans une démarche de gestion de risques, il est important de pouvoir identifier le plus
correctement possible les menaces et leurs combinaisons, ce qui est parfois difficile. Prises
isolément, des menaces de niveau faible ou moyen ne sont pas forcément graves. En revanche,
associées et combinées entre elles dans des scénarios de réalisation particuliers de risques et
d’interdépendances, elles peuvent devenir extrêmement préjudiciables.

Un faible niveau de dangerosité relève généralement de la nuisance. Entre dans cette catégorie,
la réception de messages publicitaires, de lettres d’information envoyées sans le consentement
initial de l’internaute, de spams (pourriels), surchargeant la boîte aux lettres électronique des
usagers, qui se trouvent alors contraints de trier les messages non sollicités de ceux qui les
concernent vraiment, de les effacer ou d’effectuer éventuellement des demandes de
désabonnement, etc. Cela entraîne des pertes de temps et d’énergie et divers désagréments avec
parfois la perte de messages pertinents du fait qu’ils ont été noyés parmi les spams. Le spam
publicitaire pour des médicaments contrefaits n’est pas forcément grave, à moins qu’il
n’entraîne la prise de produits inefficaces ou néfastes à la santé des personnes.

Les menaces de niveau moyen de dangerosité sont celles dont les impacts sont maîtrisables,
mais nécessitent des ressources pour diminuer leur survenue ou pour réagir après incident. C’est
le cas, par exemple, lorsque des programmes nuisibles se sont installés dans la machine de
l’utilisateur et dont la charge de malveillance ne s’est pas encore déclenchée. Il peut s’agir par
exemple d’un « cheval de Troie » : une fois installé dans la machine, ce virus permet à des
entités externes et hostiles de prendre le contrôle de l’ordinateur infecté pour espionner, voler,
détruire des données ou lancer des cyberattaques sur d’autres systèmes.

La réalisation d’une menace de niveau élevé de dangerosité entraîne des dysfonctionnements,

des dégâts et des coûts fortement préjudiciables au fonctionnement des organisations et de la
société.

Il ne suffit pas de cartographier l’ensemble des cybermenaces envisageables, ni de se protéger

des menaces les plus dangereuses et les plus probables. Il faut tenir compte de la corrélation et
de l’interaction des menaces, dans des scénarios de risques possibles (approche combinatoire
des risques). Bien qu’il soit toujours difficile de tout prévoir, la part d’imprévisibilité ou
d’ingéniosité des malveillants peut parfois être anticipée s’il existe une bonne connaissance du
contexte, des valeurs à protéger et de leurs vulnérabilités.

Les systèmes informatiques sont vulnérables, du fait de l’existence de failles qui peuvent être
exploitées pour effectuer des actions malveillantes. Ainsi par exemple, il peut exister des :

 défaillances de conception, de mise en œuvre, de gestion ou d’utilisation des

environnements informatiques ;
 déficits ou absences de comportement averti de l’utilisateur, d’hygiène informatique et
sécuritaire ;
 failles techniques matérielles et logicielles, des carences ou limites des solutions de
sécurité. Des logiciels antivirus, même à jour, ne détectent que les virus connus. Ils ne
sont d’aucune utilité pour de nouveaux virus.
Si une menace a un fort degré de dangerosité mais qu’elle n’a qu’une chance infime de se
concrétiser, ou si inversement une menace a de fortes chances de se réaliser, mais à faible degré
de dangerosité, elles ne sont pas à considérer avec autant de soucis que des menaces à degré
moyen de dangerosité mais dont la probabilité d’occurrence est importante. Il est alors
nécessaire de pouvoir définir le paramètre de probabilité d’occurrence en classant cette
probabilité en différents niveaux comme :

 la menace ne devrait pas se concrétiser ;

 la menace pourrait bien se concrétiser ;
 la menace devrait se concrétiser ;
 la menace va se concrétiser et se concrétiser à plusieurs reprises.

Ainsi, en combinant la probabilité d’occurrence d’une menace et sa dangerosité, il est possible

d’attribuer un degré d’importance à une ressource pour mieux la protéger.

V. Différents besoins de la cybersécurité

V.1 Piloter la sécurité

Que cela soit à l’échelle d’un pays ou d’une organisation, la cybersécurité doit s’appréhender
d’une manière globale et stratégique et s’appuie sur :

 la définition d’une politique de sécurité ;

 la motivation et la formation des acteurs ;
 la mise en place de mesures organisationnelles, procédurales, techniques et juridiques ;
 l’optimisation de l’usage des technologies de l’information et des communications
(TIC) ainsi que de celui des solutions de sécurité.

L’utilisation seule d’outils de sécurité (mesures techniques) ne peut pas résoudre les
problèmes de cybersécurité d’une organisation. En aucun cas, ils ne se substituent à une
gestion cohérente de l’appréhension des risques et des problématiques de sécurité. Les
besoins de sécurité doivent être clairement identifiés et constamment réévalués au regard des
risques encourus et de leur évolution.

La prolifération désordonnée d’outils de sécurité non intégrés dans un processus continu de

gestion ne peut qu’entraver l’usage, alourdir l’exploitation ou encore dégrader les
performances d’un système d’information sans offrir un niveau de sécurité adapté aux besoins
réels.

La sécurité informatique passe également par une gestion rigoureuse des ressources
humaines, des systèmes informatiques, des réseaux, des locaux, de l’infrastructure
environnementale, et des mesures de sécurité. La maîtrise de la sécurité informatique est
avant tout une question de gestion dont les outils, technologies ou solutions de sécurité
constituent une partie liée à la réalisation opérationnelle des environnements à sécuriser. Des
outils comme ceux de chiffrement ou les pare-feux ne permettent pas de sécuriser
correctement un environnement à protéger s’ils ne sont pas inscrits dans une démarche de
gestion précise des risques et s’ils ne sont pas accompagnés de procédures qui régissent leur
utilisation ou configuration. Ainsi, piloter la sécurité correspond à la volonté de maîtriser les
risques liés à l’usage des technologies de l’information et les coûts engendrés pour se
protéger des menaces et au déploiement des moyens nécessaires.

Gouverner la sécurité informatique s’inscrit dans une dimension humaine, organisationnelle,

managériale et économique des organisations répondant à une volonté politique de leur
direction pour maîtriser les risques, protéger ses valeurs et être compétitive.

La cybersécurité repose sur la complémentarité et la cohérence des mesures stratégiques et

opérationnelles. Elle n’est jamais acquise définitivement. La constante évolution des
besoins, des systèmes, des menaces ou des risques rend instable toute mesure de sécurité. Cela
se traduit par un problème de gestion de la qualité constante dans un environnement
dynamique et évolutif. Dans ce contexte, la sécurité informatique ne peut s’appréhender que
comme un processus continu de gestion afin de répondre de manière optimale (en termes de
coût et de niveau de sécurité) aux besoins de production de l’organisation et de protection de
ses actifs.

Pour beaucoup d’entreprises, l’outil informatique et le système d’information, sont des leviers
essentiels de leurs activités, de leur développement et de leur prérennité. Dans ce cas,
l’indisponibilité de l’informatique ou son dysfonctionnement constituent un risque majeur
qui peut être réduit par une gestion rigoureuse des ressources et de la cybersécurité.

La démarche de sécurité informatique comme la démarche qualité participent à satisfaire les

exigences de rentabilité et de compétitivité des entreprises dont la performance peut être
accrue par un système d’information correctement sécurisé. En effet, il ne faut pas perdre de
vue la finalité de celui-ci qui est de permettre à l’organisation qui le met en œuvre, de réaliser
des services ou des produits dont la qualité et les critères de sécurité sont garantis.

V.2 Importance du juridique dans la sécurité des systèmes d’information

La responsabilité des acteurs (responsable sécurité ou directeur de systèmes d’information,

dirigeants d’entreprise, etc.) est de plus en plus invoquée lors de sinistres où les ressources
informatiques sont l’objet ou le moyen d’un cybercrime. Il est nécessaire que les responsables
puissent démontrer que des mesures suffisantes de protection du système d’information et des
données ont été mises en œuvre afin de se protéger contre un délit de manquement à la
sécurité (à défaut d’une obligation de résultat, il existe une obligation de moyens concernant
la sécurité).

L’article 1383 du Code civil français rappelle que chacun est responsable du dommage qu’il a
causé non seulement par son fait, mais encore par sa négligence ou par son imprudence.

Les responsables d’entreprises eux-mêmes doivent être extrêmement attentifs à l’égard du

droit concernant les technologies et les traitements numériques, et s’assurer que leur système
d’information est en conformité juridique et réglementaire. Désormais, les enjeux
juridiques liés à la cybersécurité sont devenus prépondérants et doivent être pris en compte
dans la mise en place de solutions de sécurité, qu’ils soient relatifs à la conservation des
données, à la responsabilité des prestataires ou des hébergeurs, à la gestion des données
personnelles, à la surveillance des événements informatiques générés par l’activité des
employés, à la propriété intellectuelle, aux contrats informatiques ou encore à la signature
électronique par exemple. L’intelligence juridique devient l’un des facteurs clés du succès de
la réalisation de la sécurité informatique des organisations.
Le droit dans le domaine du numérique peut devenir un atout stratégique pour les
organisations qui le maîtrisent.