Sécurité informatique pour la gestion des risques - Application aux systèmes d’information

La sécurité d’un système correspond à la non-occurrence d’événements pouvant diminuer ou porter atteinte à l’intégrité du système et de son environnement, pendant toute la durée de l’activité du système, que celle-ci soit réussie, dégradée ou échouée. La sécurité couvre les événements de natures aléatoire (danger) ou volontaire (menace).

De nos jours, pratiquement tous les secteurs d’activité, tant industriels que serviciels, doivent disposer de systèmes à haut niveau de sécurité. Ces systèmes, notamment les systèmes autonomes auxquels sont confiées de plus en plus de tâches pour lesquelles les humains ne sont plus dans la boucle, sont très contraints. Ils doivent être développés au moindre coût, sont souvent aux frontières de la connaissance technologique et disposent de peu de retour d’expérience. L’atteinte de ces performances, parfois antinomiques, impose non seulement l’utilisation d’outils spécifiques, mais aussi la mise en place rigoureuse d’une organisation adaptée aux objectifs recherchés.

Le logiciel a de nos jours pris une place prépondérante dans les systèmes embarqués ou dans les systèmes dits de contrôle-commande : c’est le logiciel qui démarre ou freine les automobiles, c’est lui qui régule la distribution d’électricité dans le réseau national, c’est encore lui qui répartit les appels téléphoniques ou qui ordonnance la fabrication automatisée dans les usines. Il conduit les drones et on envisage de lui confier prochainement la conduite des véhicules autonomes.

Le logiciel est également, depuis l’avènement de la bureautique, au cœur du système d’information dont aucune entreprise ne pourrait plus se passer maintenant. Ce système lui permet aujourd’hui de gérer harmonieusement les clients, les achats, la production, la comptabilité, le personnel, etc. Ces dernières années, la nécessité de généraliser le télétravail a encore accentué et complexifié cette relation de dépendance entre l’entreprise et son système d’information.

Que leur fonction principale soit de nature administrative ou technique, les systèmes programmés peuvent, s’ils ne fonctionnent pas correctement ou s’ils sont insuffisamment protégés, provoquer des catastrophes d’ordre humain, matériel ou économique, de plus ou moins grande envergure. La technologie informatique étant assez différente des autres technologies, il est rapidement apparu indispensable de disposer de techniques spécifiques, adaptées à la gestion des risques de ces systèmes.

Cet article présente les risques informatiques en général, puis il rappelle les différences à prendre en compte pour gérer la sécurité des systèmes d’information ou celle des systèmes scientifiques et techniques. Il s’intéresse ensuite plus particulièrement aux techniques employées pour les systèmes d’information, les aspects liés aux systèmes scientifiques et techniques étant traités dans un second article [SE 2 501].

Les concepts généraux relatifs à la sécurité et à la gestion des risques dans les entreprises sont préalablement introduits dans les articles « Importance de la sécurité dans les entreprises » [AG 4 600]et « Sécurité et gestion des risques » [SE 12].