![[ép. 187] Le projet de loi de simplification](https://www.weka.fr/actualite/wp-content/uploads/2024/04/ep-187-le-projet-de-loi-de-simplification-article-300x161.png)
Partie 6 - Fiches pratiques Internet
Chapitre 3 - Sécurité
6.3/1 - Prendre la mesure des enjeux liés à la sécurité de l'information
I - Contexte
Depuis plus d'une trentaine d'années, les technologies de l'information et les outils associés constituent le premier vecteur de croissance mondiale entraînant par la même occasion une dépendance totale des organisations à l'information et aux systèmes permettant d'y accéder. Ainsi, ces outils véhiculent des données sensibles qui, dans certains cas, si elles sont livrées à la concurrence, peuvent faire perdre une avance ou un avantage compétitif. Des techniques informatiques ont donc été mises en place afin de pallier d'éventuels problèmes de sécurité. Leur domaine d'action est extrêmement large puisqu'elles doivent toucher à la fois l'humain, les processus de l'entreprise ainsi que les technologies utilisées.
II - En pratique
Afin de prendre concrètement la mesure des enjeux liés à la sécurité de l'information, il est conseillé d'adopter une démarche en plusieurs étapes :
étape 1 : Comprendre le périmètre de la sécurité de l'information
étape 2 : Cartographier les actifs
étape 3 : Analyser les vulnérabilités et les menaces
étape 4 : Identifier les actions à mener en matière de sécurité informatique
étape 5 : Mettre en place une politique de sécurité
étape 6 : Vérifier l'efficacité de la politique de sécurité mise en place
Étape 1 : Comprendre le périmètre de la sécurité de l'information
Dans un environnement de plus en plus numérique, les attaques prennent des formes multiples et variées qui peuvent être regroupées en deux grandes catégories :
attaques sur les systèmes d'information. Cette approche technologique consiste en actions malveillantes menées sur les équipements qui servent à véhiculer les flux d'information ;
attaques sur l'information. Cette approche liée à la captation et à la manipulation de l'information consiste, quant à elle, à alimenter les réseaux de communication avec des données non maîtrisées par l'entité cible et à profiter de la capacité de diffusion extrêmement rapide des réseaux de communication.
La réussite plus ou moins importante de ces attaques sur une organisation tient à de multiples causes qui peuvent être de différentes natures :
techniques : défaut de protection, faille de sécurité non corrigée, mots de passe faibles et contrôle des autorisations et des accès inexistants, données sensibles non chiffrées, équipements réseau avec du paramétrage de base, etc.
organisationnelles : absence d'une politique de sécurité claire et adaptée,...
Si vous êtes déjà abonné, connectez-vous pour accéder à la publication dans son intégralité.
