Présentation
En anglaisRÉSUMÉ
Cet article traite de la notion de sécurité telle qu’appréhendée pour les logiciels.
Après une introduction, qui présente les risques encourus par les systèmes programmés, il explique la nécessite de faire la distinction entre les domaines des systèmes d’information et celui de l’informatique scientifique et technique.
L’article est ensuite consacré aux enjeux et objectifs de la cybersécurité et présente un retour d’expérience récent sur le sujet. Il s’intéresse aux méthodes d’évitement des risques basées sur les tests intrusifs, l’analyse de risques ou la gestion du processus de réalisation des logiciels. Les principales solutions de réduction de risque sont également présentées.
L’article conclut en faisant le point sur les aspects normatifs et de certification liés à la sécurité des systèmes d’information
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
This article deals with the notion of safety and security as understood for software.
After an introduction that presents the risks involved in programmed systems, it explains the need to distinguish between the fields of information systems and scientific and technical software.
The article is then devoted to the challenges and objectives of cybersecurity and presents recent feedback on the subject. It addresses risk avoidance methods based on intrusive testing, risk analysis or management of the software development process. The main risk mitigation solutions are also presented.
The article concludes by reviewing the normative and certification aspects related to the security of information technology.
Auteur(s)
-
Frédérique VALLÉE : Agrégée de mathématiques – Docteur en statistiques - Expert en sûreté de fonctionnement des systèmes programmés et consultante
INTRODUCTION
La sécurité d’un système correspond à la non-occurrence d’événements pouvant diminuer ou porter atteinte à l’intégrité du système et de son environnement, pendant toute la durée de l’activité du système, que celle-ci soit réussie, dégradée ou échouée. La sécurité couvre les événements de natures aléatoire (danger) ou volontaire (menace).
De nos jours, pratiquement tous les secteurs d’activité, tant industriels que serviciels, doivent disposer de systèmes à haut niveau de sécurité. Ces systèmes, notamment les systèmes autonomes auxquels sont confiées de plus en plus de tâches pour lesquelles les humains ne sont plus dans la boucle, sont très contraints. Ils doivent être développés au moindre coût, sont souvent aux frontières de la connaissance technologique et disposent de peu de retour d’expérience. L’atteinte de ces performances, parfois antinomiques, impose non seulement l’utilisation d’outils spécifiques, mais aussi la mise en place rigoureuse d’une organisation adaptée aux objectifs recherchés.
Le logiciel a de nos jours pris une place prépondérante dans les systèmes embarqués ou dans les systèmes dits de contrôle-commande : c’est le logiciel qui démarre ou freine les automobiles, c’est lui qui régule la distribution d’électricité dans le réseau national, c’est encore lui qui répartit les appels téléphoniques ou qui ordonnance la fabrication automatisée dans les usines. Il conduit les drones et on envisage de lui confier prochainement la conduite des véhicules autonomes.
Le logiciel est également, depuis l’avènement de la bureautique, au cœur du système d’information dont aucune entreprise ne pourrait plus se passer maintenant. Ce système lui permet aujourd’hui de gérer harmonieusement les clients, les achats, la production, la comptabilité, le personnel, etc. Ces dernières années, la nécessité de généraliser le télétravail a encore accentué et complexifié cette relation de dépendance entre l’entreprise et son système d’information.
Que leur fonction principale soit de nature administrative ou technique, les systèmes programmés peuvent, s’ils ne fonctionnent pas correctement ou s’ils sont insuffisamment protégés, provoquer des catastrophes d’ordre humain, matériel ou économique, de plus ou moins grande envergure. La technologie informatique étant assez différente des autres technologies, il est rapidement apparu indispensable de disposer de techniques spécifiques, adaptées à la gestion des risques de ces systèmes.
Cet article présente les risques informatiques en général, puis il rappelle les différences à prendre en compte pour gérer la sécurité des systèmes d’information ou celle des systèmes scientifiques et techniques. Il s’intéresse ensuite plus particulièrement aux techniques employées pour les systèmes d’information, les aspects liés aux systèmes scientifiques et techniques étant traités dans un second article [SE 2 501].
Les concepts généraux relatifs à la sécurité et à la gestion des risques dans les entreprises sont préalablement introduits dans les articles « Importance de la sécurité dans les entreprises » [AG 4 600]et « Sécurité et gestion des risques » [SE 12].
KEYWORDS
safety | risk management | information systems | cybersecurity | intrusive testing
VERSIONS
- Version archivée 1 de oct. 2003 par Frédérique VALLÉE
- Version archivée 2 de juil. 2010 par Frédérique VALLÉE
- Version archivée 3 de avr. 2016 par Frédérique VALLÉE
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Innovation > Industrie du futur > Industrie du futur : outils numériques > Sécurité informatique pour la gestion des risques - Application aux systèmes d’information > Actions en réduction de risque
Accueil > Ressources documentaires > Génie industriel > Industrie du futur > Industrie du futur : outils numériques > Sécurité informatique pour la gestion des risques - Application aux systèmes d’information > Actions en réduction de risque
Accueil > Ressources documentaires > Environnement - Sécurité > Sécurité et gestion des risques > Menaces et vulnérabilités : protection des sites industriels > Sécurité informatique pour la gestion des risques - Application aux systèmes d’information > Actions en réduction de risque
Accueil > Ressources documentaires > Environnement - Sécurité > Sécurité et gestion des risques > Sécurité par secteur d'activité et par technologie > Sécurité informatique pour la gestion des risques - Application aux systèmes d’information > Actions en réduction de risque
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Actions en réduction de risque
Une fois que les méthodes d’analyse de risque ont mis en évidence les vulnérabilités du système d’information, il s’agit de trouver des solutions qui permettent de réduire le risque à un niveau acceptable. Ce chapitre présente quelques-unes de ces solutions.
3.1 Natures des actions possibles
Suivant l’étape à laquelle elles interviennent dans l’évolution de la menace, les actions en réduction de risque feront de la prévention, de la détection, de la correction ou de la récupération.
-
La prévention traite des mesures à prendre afin d’éviter un sinistre. Par exemple :
-
sensibilisation (vis-à-vis des utilisateurs légitimes) ;
-
dissuasion (exemple : par un tatouage couvrant le corps d’un message avec un filigrane électronique indélébile) ;
-
protection par :
-
désinformation (création de simulacres pour piéger les attaquants ou retarder leur avance avec des leurres ou « pots de miel » honeypots).
-
-
La détection couvre les mesures prises afin de détecter un sinistre (exemple : via des systèmes de détection d’intrusion).
-
La correction s’efforce de limiter les pertes d’un sinistre déclaré via des mesures de confinement (exemple : mise en quarantaine, modification des règles de filtrage par le biais d’un système de prévention d’intrusion (IPS – Intrusion Prevention System), et d’assurer la disponibilité du système en présence d’une...
TEST DE VALIDATION ET CERTIFICATION CerT.I. :
Cet article vous permet de préparer une certification CerT.I.
Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.
de Techniques de l’Ingénieur ! Acheter le module
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Actions en réduction de risque
BIBLIOGRAPHIE
-
(1) - FOVINO (I.), MASERA (M.), DE CIAN (A.) - Integrating cyber attacks within fault trees. Reliability Engineering and System Safety, - Elsevier, p. 94 (2009).
-
(2) - STEINER (M.), LIGGESMEYER (P.) - Combination of safety and security analysis. Finding Security Problems That Threaten The Safety of a System. - Workshop DECS (Dependable Embedded and Cyber-physical Systems) of the 32nd International Conference on Computer Safety, Reliability and Security (2013).
-
(3) - DESROCHES (A.), LEROY (A.), VALLEE (F.) - La gestion des risques : principes et pratiques. - Hermès Sciences, Lavoisier (2014).
-
(4) - VICKOFF (J.P.) - Méthode agile. Les meilleures pratiques. Compréhension et mise en œuvre, - QI (2009).
-
(5) - LEVESON (N.), YOUNG (W.) - An integrated approach to safety and security based on systems theory. Applying a more powerful new safety methodology to security risks. - Communications of the ACM, vol. 57, n° 2 (2014).
-
...
DANS NOS BASES DOCUMENTAIRES
CLUSIF – Club de la sécurité des systèmes d’information français
AFAI – Association française de l’audit et du conseil informatiques
ANSSI – Agence nationale de la sécurité des systèmes d’information
ISACA – Information Systems Audit and Control Association
Integrating Safety and Cybersecurity through Stochastic Model Checking
https://cordis.europa.eu/project/id/864075/fr
HAUT DE PAGE
ISO 73 Guide ISO 7312-09, Management du risque – Vocabulaire – Principes directeurs pour l’utilisation dans les normes
ISO CEI 27001-22, Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information –Exigences
ISO CEI 27002-22, Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information
ISO CEI 27003-17, Technologies...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE
1/ Quiz d'entraînement
Entraînez vous autant que vous le voulez avec les quiz d'entraînement.
2/ Test de validation
Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.
Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive