La sécurité de l’information : état des lieux

La sécurité de l’information et des systèmes informatiques demeure au rang des principales préoccupations d’un nombre toujours plus important d’entreprises, selon la dernière étude publiée par Ernst & Young, 2006 Global Information Security Survey.

Près de la moitié des entreprises interrogées (sur la base de 1 200 répondants, répartis dans 48 pays) déclare que la sécurité de l’information est même d’ores et déjà intégrée aux programmes de gestion des risques en vigueur dans l’entreprise. Dans un contexte où la sécurité de l’information tient une place aussi prépondérante, les entreprises cherchent à la pérenniser en y consacrant davantage de ressources tant humaines que financières. 
Près de la moitié des répondants ont par ailleurs mis en place une politique de sécurité de l’information pour améliorer et soutenir l’activité en accompagnant, notamment, le lancement d’un produit. 40% l’ont fait dans un contexte de préservation de leur propriété intellectuelle, tandis que moins d’un quart déclarent l’avoir activé dans le cas d’opérations de fusions et d’acquisitions.

Mais en France, les entreprises semblent encore peu sensibilisées aux impacts potentiels du champ de la sécurité informatique sur le développement de leur activité. Pour l’heure, seul un quart d’entre elles (23%) considère ce domaine comme réellement important pour la réalisation d’initiatives stratégiques.

L’informatique nomade permettant un accès à distance au système d’information représente toujours la menace la plus souvent évoquée (76%), devant les applications Web (52%), les réseaux sans fil (48%) et les périphériques amovibles - de type clé USB (40%). Les nouveaux produits Windows arrivent en cinquième position des nouvelles technologies jugées dangereuses (22%).

Dans une entreprise, l’information suit un schéma de circulation et de traitement avant d’arriver à son destinataire finale. On retrouve plusieurs risques de sécurité dans cet acheminement.

 

Phase 1 : Recherche d’informations. Les informations sont publiées sur Internet par des individus, des institutions, des groupes. La recherche et la collecte d’information se fera sur :

  • Les bases de données scientifique et technique, économique, de gestion : Consultables dans la plupart des bibliothèques des organismes universitaires, publiques ou privés. On peut les lire presque partout. Ex : Physical Review, Chemical Abstracts, Current Contents, etc.
  • Les Brevets : 80 % de l’information technique n’est publiée que dans les brevets. Ils permettent de comprendre la politique de développement technologique des concurrents. La surveillance des brevets permet également d’évaluer la propriété, la liberté d’exploitation d’un produit ou d’une technique. Le contenu informatif du brevet est exploité pour les applications suivantes :
    • Surveillance de la concurrence : être au courant des brevets publiés.
    • Connaître les domaines techniques les plus prisés.
    • Connaître les domaines protégés pour ne pas commettre des erreurs de plagiat mais plutôt innover.
  • Les Bases de Données : de grandes quantités d’information de plusieurs types sont stockés dans des bases de données. Disponibles sous format électronique, on peut, rapidement, accéder à l’information.
  • Les congrès, colloques, expositions, foires : sources d’information scientifique, technique, économique et commerciale. Dans ce genre de manifestations, il est recommandé de collecter les prospectus intéressants. Aussi prendre, si le type de manifestation le permet, des échantillons et des pièces pour les faire analyser et les faire examiner par un spécialiste.
  • L’information informelle : les commerciaux du réseau de vente devraient être d’excellents observateurs ; leurs contacts avec la clientèle, avec les sous-traitant, permettent d’obtenir de l’information fraîche sur les besoins du marché, leur évolution, les projets des concurrents, les tendances à court terme, le remplacement de tel produit par tel autre, etc.
  • Les normes et les règlements : leur importance se fait sentir au niveau des sujets majeurs de propriété industrielle. La recherche et la collecte de ce type d’information doivent être réalisées très soigneusement. L’erreur n’est pas permise car dans les domaines industriels et pharmaceutiques les normes et les règlements sont primordiaux.
  • Les sources internes : les rapports techniques internes de l’entreprise représentent une source d’information au niveau technologique. C’est là où se trouve archivé le patrimoine de l’entreprise. C’est pour cela que certains grands groupes ont constitué des banques de données internes facilement consultables. Cette consultation est souvent favorisée par le développement d’un Intranet.
  • Les blogs et sites personnels. Certains experts se lancent dans la publication en ligne. Ils partagent ainsi leur connaissance et leur maîtrise d’un domaine précis avec les internautes : articles, points de vue, comparatif, analyses sont parmi le type d’information que l’on peut rencontrer sur leur site ou leur blog. Il faut cependant exploiter ces informations de manière prudente. Ces espaces peuvent être utilisés pour alimenter une rumeur.
  • Les réseaux sociaux. En plein essor, les réseaux sociaux se déploient à grande vitesse sur la toile. Bien qu’ils existent depuis quelques temps, on a pu évaluer leur réel potentiel que depuis peu. En effet certaines rencontres aboutissent à des contrats, des prestations ou expertises. Ils permettent par ailleurs de développer  son réseau relationnel. La méfiance et la discrétion restent, tout de même, de  rigueur dans ces espaces.

Phase 2 : Traitement de l’information.

La bibliométrie et la scientométrie ont acquis un réel statut parmi les techniques dont usent à présent les professionnels du traitement de l’information. Ce traitement leur permet d’extraire ce qui peut intéresser leurs centres d’intérêt. La validation de l’information s’effectue par un expert dans le domaine. Il décide que tel information est intéressante que telle autre n’est pas tout à fait vraie et que tel donnée est à développer, etc. Son expérience et son savoir du domaine lui procure une certaine autorité vis à vis de la validité de l’information trouvée. D’autres types de traitement sont aussi appliquées à l’information collecté : la validation, le classement, la synthèse, l’analyse, etc.

Phase 3 : Exploitation et diffusion de l’information. L’information finale doit parvenir aux décideurs qui ne doit pas être noyé dans un volume important de données. Les étapes précédentes ont permis de dégager les signaux importants et les informations précises qui doivent être rapidement mises à disposition. Un bon système d’information, n’est pas celui qui collecte le plus grand nombre d’information mais c’est celui qui permet d’agir directement sur le processus de décision dans une entreprise.

Phase 4 : Risques d’intrusion. Le risque d’intrusion est permanent dans une entreprise. Certains d’entre elle, pour évaluer l’efficacité de leur système, font appel à des sociétés spécialisées qui simulent des attaques informatiques. Le risque d’intrusion peut être :

  • Piratage informatique
  • Spyware
  • Usurpation d’identité 
  • Collaborateur 
  • Concurrents

Read more No Comments Oct 19, 2008
Category: Point de vue Tags: , ,

Comments are closed.