IT risk

La sécurité du SI comprend cinq principales dimensions : confidentialité, disponibilité et intégrité, la traçabilité, la non répudiation. Elle comprend l'application et la gestion de procédures de sécurité appropriées qui impliquent la prise en compte d'un large éventail de menaces, dans le but d'assurer la réussite et la continuité de l'activité et de minimiser l’impact des incidents sur le système de l'information. Ces contrôles doivent être spécifiés, mis en œuvre, surveillés, révisés et améliorés si nécessaire, pour garantir que les objectifs spécifiques de sécurité et de gestion des informations de l'organisation sont atteints.

• Confidentialité – C’est le fait de s’assurer qu’une information est accessible uniquement par les entités qui ont le droit d’accéder à celle-ci. Par exemple, si nous disons que j'ai un mot de passe pour mon compte Gmail mais que quelqu'un a vu pendant que je me connectais à un compte Gmail. Dans ce cas, mon mot de passe a été compromis et la confidentialité a été violée.

• Intégrité – L’intégrité s’assure que la donnée reste toujours intègre c’est-à-dire qu’elle n’a pas été modifiée par un tiers non autorisé. Ce principe devra être respecté tout au long de la vie de l’information. Garantir l’intégrité d’une donnée, c’est garantir que la donnée est restée fiable depuis sa création. Par exemple, si un employé quitte une entreprise, dans ce cas, les données de cet employé appartenant à tous les services, comme les comptes, doivent être mises à jour pour refléter le statut de JOB LEFT afin que les données soient complètes et exactes. En outre, seule la personne autorisée doit être autorisée à modifier les données des employés.

• Disponibilité – elle signifie que les informations doivent être disponibles peu importe le moment choisit. Par exemple, si vous devez accéder aux informations d'un employé particulier pour vérifier si celui-ci a dépassé le nombre de congés, cela nécessite la collaboration d'équipes organisationnelles différentes, telles que les opérations réseau, les opérations de développement, la gestion des incidents et la gestion des règles et des changements.

• Traçabilité – La traçabilité d’une information représente le fait de savoir d’où elle vient, par où elle est passée et où elle a terminé sa route. Elle permet l’investigation en cas de dysfonctionnement et d’incidents, elle fournit la preuve d’un évènement donné et permettre la vérification du bon déroulement lors du traitement de l’information.

• Non-répudiation – La non-répudiation se base sur un principe simple : une entité ne peut nier son implication dans une action à laquelle il a participé.

Ce principe peut être respecté via différent mécanismes : les signatures numériques, un système d’accounting (log des actions faites….). Le but de la non-répudiation est de contrôler chaque action fais sur un réseau afin de savoir quelle entité est à l’origine d’une action et/ou d’une défaillance sur le système d’information.

...