Allez au contenu, Allez à la navigation

Sécurité numérique et risques: enjeux et chances pour les entreprises

2 février 2015 : Sécurité numérique et risques: enjeux et chances pour les entreprises ( rapport de l'opecst )

III. LA FONCTION DE SURVEILLANCE DE LA SÉCURITÉ

L'étude de risque, aboutissant à une cartographie des risques, constitue pour l'entreprise un préalable à la construction de sa sécurité numérique en profondeur qui s'appuie également sur l'audit ou l'investigation. Cet ensemble d'informations détermine la nature de la sécurité opérationnelle à mettre en oeuvre en réaction aux attaques numériques.

« Il n'est jamais question de sécurisation totale car ce serait faux et dangereux de laisser croire que l'environnement est parfaitement sécurisé d'autant qu'il faut entretenir un certain sentiment d'insécurité, de la vigilance en permanence. De plus, mieux que de se cantonner aux antivirus, il faut procéder à une approche en profondeur avec des barrières à l'entrée des réseaux, des murs (firewall) qui filtrent certaines informations avec des antivirus et des moyens de supervision pour constater si quelque chose d'anormal se produit, comme lorsqu'un ordinateur consulte trop souvent un autre ordinateur ou un serveur ; il est alors possible de savoir ce qui se passe. Des outils de chiffrage, des protections, des filtres sont mis en place à différents endroits au vu des besoins pour améliorer le niveau de sécurité jusqu'à un seuil acceptable. »

M. Éric Bruni
Chef du service de la sécurité de défense et des systèmes d'information, DGA
6 mars 2014
Auditions. Tome II du présent rapport

Face à l'escalade importante des failles de sécurité, le rôle de la sécurité opérationnelle devient primordial. La surveillance est l'un des piliers de la gestion des risques.

A. RECOURS À LA CARTOGRAPHIE DES RISQUES

Depuis une vingtaine d'années, l'étude des risques s'est imposée dans de nombreux domaines comme un cadre réducteur de l'incertitude et de la complexité. Néanmoins, la société moderne vit aujourd'hui un curieux paradoxe où elle affirme sa volonté de se projeter dans l'avenir par une course accélérée à l'innovation tout en préservant une logique prudentielle. Il en découle une omniprésence de la maîtrise du risque devenue un phénomène sociétal tel que certains sociologues du début des années 1990 ont baptisé nos sociétés modernes de « société du risque » (M. Ulrich Beck).

Ce constat conduit à penser que le numérique ne doit pas dominer la société mais doit rester simplement un nouveau produit du risque qu'il faut appréhender afin de revenir à une situation de maîtrise de la technologie.

Pour répondre à cette double exigence avec efficacité, il a été imaginé de mettre en place une fonction de surveillance fondée sur une cartographie des risques déterminée à partir d'une analyse des risques. Cette approche est conforme aux nouveaux modèles de gouvernance proposés récemment au sein des normes ISO/IEC 31000 et ISO/IEC 27005.

Schéma n° 86 : Modèle de risque ISO / IEC 31000

Source : OPECST