Présentation

Article

1 - RISQUES INFORMATIQUES

2 - MÉTHODOLOGIES EMPLOYÉES POUR LES SYSTÈMES D'INFORMATION

3 - MÉTHODOLOGIES EMPLOYÉES POUR LES SYSTÈMES SCIENTIFIQUES ET TECHNIQUES

4 - ÉTAT DE L'ART

| Réf : SE2500 v2

Risques informatiques
Sécurité informatique pour la gestion des risques

Auteur(s) : Frédérique VALLÉE

Date de publication : 10 juil. 2010

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Auteur(s)

  • Frédérique VALLÉE : Agrégée de mathématiques - Docteur en statistiques - Expert en sûreté de fonctionnement des systèmes programmés - Directrice technique d'All4tec Études & Conseils, Massy

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

INTRODUCTION

La sécurité d'un système correspond à la non-occurrence d'événements pouvant diminuer ou porter atteinte à l'intégrité du système et de son environnement pendant toute la durée de l'activité du système, que celle-ci soit réussie, dégradée ou échouée. La sécurité couvre les événements de nature aléatoire (danger) ou volontaire (menace).

Depuis plus d'un quart de siècle, pratiquement tous les secteurs d'activité, tant industriels que de services, doivent disposer de systèmes à haut niveau de sécurité. Ces systèmes, qui doivent par ailleurs être développés au moindre coût, sont souvent aux frontières de la connaissance technologique et disposent de peu de retour d'expérience. L'atteinte de ces deux performances, parfois antinomiques, impose non seulement l'utilisation d'outils spécifiques mais aussi la mise en place rigoureuse d'une organisation adaptée aux objectifs recherchés.

Les concepts généraux relatifs à la sécurité et à la gestion des risques dans les entreprises sont bien introduits dans  et dans les articles TI « Importance de la sécurité dans les entreprises » [AG 4 600] et « Sécurité et gestion des risques » [SE 10].

Le logiciel a peu à peu pris une place prépondérante dans les systèmes embarqués ou dans les systèmes dits de contrôle-commande : c'est le logiciel qui démarre ou freine les automobiles, c'est lui qui régule la distribution d'électricité dans le réseau national, c'est encore lui qui répartit les appels dans les grands centraux téléphoniques ou qui ordonnance la fabrication automatisée dans les usines.

Il est également, depuis l'avènement de la bureautique, au cœur du système d'information dont aucune entreprise ne pourrait plus se passer maintenant. Ce système lui permet aujourd'hui de gérer harmonieusement les clients, les achats, la production, la comptabilité, le personnel, etc. Ces dernières années, la généralisation d'Internet a encore accentué et complexifié cette relation de dépendance entre l'entreprise et son système d'information.

Que leur fonction principale soit de nature administrative ou technique, les systèmes hautement automatisés peuvent, s'ils ne fonctionnent pas correctement ou s'ils sont insuffisamment protégés, provoquer des catastrophes d'ordres humain, matériel ou économique, et de plus ou moins grande envergure.

La technologie informatique étant assez différente des autres technologies, il est rapidement apparu indispensable de disposer de techniques spécifiques, adaptées à la gestion des risques de ces systèmes dits systèmes informatiques ou systèmes programmés.

Cet article présente ces techniques. Il fait notamment la différence entre les besoins et entre les méthodes utilisées pour les systèmes d'information ou pour les systèmes programmés scientifiques et techniques.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-se2500


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

1. Risques informatiques

1.1 Incidents causés par l'informatique

La composante informatique des systèmes peut produire, directement ou indirectement, divers incidents de plus ou moins grande gravité.

Exemple

le tableau 1 donné ci-dessous rappelle quelques-uns des incidents, survenus ces dernières années, dans différents domaines.

HAUT DE PAGE

1.2 Risques et sécurité

Dans le cadre des systèmes informatiques, la sécurité doit couvrir aussi bien les nuisances de nature aléatoire (les dangers) que les nuisances de nature volontaire (les menaces) telles que présentées dans l'introduction. Pour bien marquer cette distinction, les spécialistes de gestion des risques informatiques utilisent le terme de sécurité-innocuité dans le premier cas et le terme de sécurité-confidentialité dans le second.

La sécurité-innocuité (traduction peu satisfaisante du mot anglais « safety », mais la seule proposée à ce jour) concerne l'aptitude du système à ne pas connaître d'événements catastrophiques. Les dangers sont les défaillances du matériel, les défaillances du logiciel et les erreurs humaines non-intentionnelles. Dans la plupart des entreprises, ces aspects sont traités dans le cadre de la sûreté de fonctionnement du système. Dans certains domaines comme le nucléaire, on parle tout simplement de sûreté du système.

Exemple

le tableau 2 donne des exemples de dangers traités en sûreté de fonctionnement des systèmes programmés.

La sécurité-confidentialité (traduction peu satisfaisante du mot anglais « security », mais la seule proposée à ce jour) concerne l'aptitude du système à se prémunir de la manipulation non-autorisée de l'information à des fins malveillantes. Les menaces sont stratégiques, terroristes, ludiques ou mercantiles. Dans la plupart des entreprises, ces aspects sont traités dans le cadre de la sécurité des systèmes d'information.

Exemple

le tableau 3 donne des exemples de...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Risques informatiques
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - DESROCHES (A.), LEROY (A.), VALLEE (F.) -   La gestion des risques : principes et pratiques.  -  Hermès Sciences, Lavoisier (2003).

  • (2) - Dossier -   Sécurité informatique – une préoccupation majeure, Instantanés Techniques.  -  Revue des Techniques de l'Ingénieur, no 27, sept. 2002.

  • (3) - CLEMENT (C.) -   Le développement d'un plan stratégique de sécurité des systèmes d'information – L'expérience de l'université de Laval avec les méthodes MARION et MEHARI.  -  Université de Laval, avr. 2002.

  • (4) - ISO CEI 15408 -   *  -  Common Criteria for Information Technology Security Evaluation.

  • (5) - ISO 13335 -   *  -  Guides de management de la sécurité informatique.

  • (6) - SCHNEIER (B.) -   Applied cryptography (Cryptographie...

1 Sites Internet

Club de la sécurité de l'information français (Clusif) http://www.clusif.asso.fr

Association française de l'audit et du conseil informatiques (AFAI) http://www.afai.asso.fr

Agence nationale de la Sécurité des systèmes d'information (ANSSI) http://www.ssi.gouv.fr

Motor Industry Software Reliability Association (Misra) http://www.misra.org.uk

Comité français d'accréditation (Cofrac) http://www.cofrac.fr

HAUT DE PAGE

2 Normes et standards

ISO CEI 27001 - Standard for Information Security Management System (ISMS) - -

ISO CEI 27005 - Information security risk management - -

Guide ISO 73 - 2002 - Management du risque – Vocabulaire – Principes directeurs pour l'utilisation dans les normes - -

ISO 26262 - Véhicules routiers – Sécurité fonctionnelle - -

CEI 62304 - 05-06 - Logiciels de dispositifs médicaux – Processus du cycle de vie du logiciel - -

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS