Une politique de sécurité de l’information

---

Ce qu'il faut avant tout, c'est identifier précisément les biens de l'entreprise ou de l'organisation à risque ainsi que les menaces qui pèsent sur ces biens.

Ces menaces peuvent être un incendie ou un crash informatique. Il se peut aussi que cette menace soit le résultat d'une intervention humaine non intentionnelle, par exemple, quelqu'un peut oublier par inadvertance un document confidentiel dans un train. Cette menace peut aussi, bien sûr, découler d'un acte intentionnel, par exemple en cas d'effraction ou d'espionnage.

Il faut aussi tenir compte des maillons faibles ou vulnérabilités de l'entreprise ou de l'organisation. Il peut s'agir dans ce cadre d'un logiciel mal installé ou d'une serrure défectueuse à la porte d'accès à un local dans lequel sont conservées des informations importantes. Ces points faibles de la protection des données peuvent entraîner des dommages. Une erreur de programmation peut ainsi permettre à un pirate informatique de pénétrer dans le système et d'y détruire des fichiers.

Il peut aussi hélas arriver que des incidents inattendus surviennent, par exemple une surcharge du système informatique. Il faut donc essayer de tenir compte des différents types d'incidents potentiels.

Certains incidents ne sont pas sans conséquences et leur impact peut parfois prendre des proportions gigantesques. La corruption ou la perte d'un fichier qui contient des données relatives aux allocations familiales peut ainsi s'avérer préjudiciable à de nombreuses personnes qui ont des enfants. Des mesures doivent donc aussi être élaborées pour être prêt à faire face à ces éventualités.

Enfin, il faut aussi essayer d'évaluer les risques pour l'entreprise ou l'organisation. Évaluer ce risque signifie calculer la probabilité qu'un risque identifié se produise (par exemple qu'un virus efface un fichier) et en évaluer les conséquences potentielles. Il peut, en effet, s'avérer utile d'évaluer quelles peuvent être les conséquences de la disparition du fichier qui contient toutes les données salariales du personnel de l'entreprise ou celles qui peuvent être liées au fait qu'un membre du personnel divulguerait à un collègue le mot de passe lui donnant accès au fichier comptable. Ces deux événements peuvent bien sûr entraîner des conséquences très différentes en termes d'importance.

L'étape suivante consiste à élaborer des mesures de sécurité adaptées aux risques encourus par l'entreprise ou l'organisation. Il faut, pour cela, développer la solution la plus adaptée pour l'entreprise ou l'organisation par rapport à chaque danger ou risque auquel elle est exposée. Les éventuels dangers peuvent être réduits et les vulnérabilités peuvent être corrigées en veillant à limiter leurs conséquences. On peut aussi mettre en place un dépistage actif des incidents potentiels de sorte à pouvoir intervenir avant que la situation ne s'aggrave.
Enfin, il persiste bien sûr toujours des risques résiduels, ceux que la mise en place des mesures de protection ne permet pas d'éliminer. Ces risques sont impossibles à éviter (p. ex. les erreurs humaines) et le but doit être de les ramener ou de les garder à un niveau minimum.

Il est illusoire de penser que tous les risques puissent être exclus. Même le système de sécurité le plus performant ne sera donc jamais à l'abri d'événements impondérables : p. ex des actes de malveillance mais aussi les erreurs humaines, les catastrophes naturelles, etc. Ces dangers surviennent hélas le plus souvent inopinément et là où on les attend le moins. Il n'y a donc d'autre issue que d'apprendre à vivre avec et à les gérer au mieux. Le salut ne peut venir que de la capacité de l'entreprise ou de l'organisation de maintenir le risque résiduel au niveau le plus bas possible. Ce risque minimum est différent pour chaque entreprise ou organisation, ce qui explique qu'on ne dispose d'aucune recette miracle prête à l'emploi. Chaque entreprise ou organisation doit élaborer sa politique de sécurité pour garantir une gestion du risque appropriée à sa spécificité.