Lundi 28 Avril 2025
Rechercher 🔍

Insécurité du système d'information - Définition

Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.
- Introduction - Mesure des risques - Liste des risques

Introduction

Il existe de nombreux risques en sécurité du système d'information, qui évoluent d'année en année.

Le terme criminalité informatique, aussi appelé « cyber-criminalité », définit à mauvais titre les différentes attaques contre les systèmes informatiques, la plupart des attaques pouvant être classifiées comme des délits, et non des crimes. Ce terme est souvent employé comme FUD, généralement par les mêmes personnes qui considèrent les hackers comme des terroristes.

Mesure des risques

Il importe de mesurer ces risques, non seulement en fonction de la probabilité ou de la fréquence de leurs survenances, mais aussi en mesurant leurs effets possibles. Ces effets, selon les circonstances et le moment où ils se manifestent, peuvent avoir des conséquences négligeables ou catastrophiques. Parfois, le traitement informatique en cours échoue, il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ; parfois l'incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. Mais ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses :

  • données irrémédiablement perdues ou altérées, ce qui les rend inexploitables.
  • données ou traitements durablement indisponibles, pouvant entraîner l'arrêt d'une production ou d'un service.
  • divulgation d'informations confidentielles ou erronées pouvant profiter à des sociétés concurrentes ou nuire à l'image de l'entreprise.
  • déclenchement d'actions pouvant provoquer des accidents physiques ou induire des drames humains.

A l'ère de la généralisation des traitements et des échanges en masse, on imagine assez bien l'impact que pourraient avoir des événements majeurs comme, par exemple, une panne électrique de grande ampleur ou la saturation du réseau Internet pendant plusieurs heures.

Hormis ces cas exceptionnels, beaucoup de risques peuvent être anticipés et il existe des parades pour la plupart d'entre eux. On peut citer en exemple les précautions prises peu avant l'an 2000 qui, même si la réalité du risque a parfois été (et reste aujourd'hui) controversée, ont peut-être évité de graves désagréments.

Chaque organisation, mais aussi chaque utilisateur, a tout intérêt à évaluer, même grossièrement, les risques qu'il court et les protections raisonnables qu'elle ou il peut mettre en œuvre. Dans le monde professionnel, les risques et les moyens de prévention sont essentiellement évalués en raison de leurs coûts. Il est par exemple évident qu'une panne qui aurait pour conséquence l'arrêt de la production d'une usine pendant une journée mérite qu'on consacre pour la prévenir une somme égale à une fraction de la valeur de sa production quotidienne ; cette fraction sera d'autant plus importante que la probabilité et la fréquence d'une telle panne sont élevées.

Risques humains

Les risques humains sont les plus importants, même s'ils sont le plus souvent ignorés ou minimisés. Ils concernent les utilisateurs mais également les informaticiens eux-mêmes.

  • La maladresse : comme en toute activité, les humains commettent des erreurs ; il leur arrive donc plus ou moins fréquemment d'exécuter un traitement non souhaité, d'effacer involontairement des données ou des programmes, etc.
  • L'inconscience et l'ignorance : de nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. Des manipulations inconsidérées (autant avec des logiciels que physiques) sont aussi courantes.
  • La malveillance : Aujourd'hui, il serait quasiment inconcevable de prétexter l'ignorance des risques sus-cités, tant les médias ont pu parler des différents problèmes de virus et de vers ces dernières années (même s'ils ont tendance, en vulgarisant, à se tromper sur les causes et les problèmes). Ainsi, certains utilisateurs, pour des raisons très diverses, peuvent volontairement mettre en péril le système d'information, en y introduisant en connaissance de cause des virus (en connectant par exemple un ordinateur portable sur un réseau d'entreprise), ou en introduisant volontairement de mauvaises informations dans une base de données. De même il est relativement aisé pour un informaticien d'ajouter délibérément des fonctions cachées lui permettant, directement ou avec l'aide de complices, de détourner à son profit de l'information ou de l'argent.
  • L'ingénierie sociale : l'ingénierie sociale (social engineering en anglais) est une méthode pour obtenir d'une personne des informations confidentielles, que l'on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d'autres fins (publicitaires par exemple). Elle consiste à se faire passer pour quelqu’un que l’on n'est pas (en général un administrateur) et de demander des informations personnelles (nom de connexion, mot de passe, données confidentielles, etc.) en inventant un quelconque prétexte (problème dans le réseau, modification de celui-ci, heure tardive, etc.). Elle peut se faire soit au moyen d’une simple communication téléphonique, soit par courriel, soit en se déplaçant directement sur place.
  • L'espionnage : l'espionnage, notamment industriel, emploie les mêmes moyens, ainsi que bien d'autres (influence), pour obtenir des informations sur des activités concurrentes, procédés de fabrication, projets en cours, futurs produits, politique de prix, clients et prospects, etc.
  • Le détournement de mot de passe : un administrateur système ou réseau peut modifier les mots de passe d'administration lui permettant de prendre le contrôle d'un système ou d'un réseau. (voir le cas de Terry Childs).

Dans les approches de type ingénierie des connaissances, le capital humain est considéré comme l'une des trois composantes du capital immatériel de l'entreprise.

Risques techniques

Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels. Ces incidents sont évidemment plus ou moins fréquents selon le soin apporté lors de la fabrication et des tests effectués avant que les ordinateurs et les programmes ne soient mis en service. Cependant les pannes ont parfois des causes indirectes, voire très indirectes, donc difficiles à prévoir.

  • Incidents liés au matériel : si on peut le plus souvent négliger la probabilité d'une erreur d'exécution par un processeur (il y eut néanmoins une exception célèbre avec l'une des toutes premières générations du processeur Pentium d'Intel qui pouvait produire, dans certaines circonstances, des erreurs de calcul), la plupart des composants électroniques, produits en grandes séries, peuvent comporter des défauts et finissent un jour ou l'autre par tomber en panne. Certaines de ces pannes sont assez difficiles à déceler car intermittentes ou rares.
  • Incidents liés au logiciel : ils sont de très loin les plus fréquents ; la complexité croissante des systèmes d'exploitation et des programmes nécessite l'effort conjoint de dizaines, de centaines, voire de milliers de programmeurs. Individuellement ou collectivement, ils font inévitablement des erreurs que les meilleures méthodes de travail et les meilleurs outils de contrôle ou de test ne peuvent pas éliminer en totalité. Des failles permettant de prendre le contrôle total ou partiel d'un ordinateur sont régulièrement rendues publiques et répertoriées sur des sites comme SecurityFocus ou Secunia. Certaines failles ne sont pas corrigées rapidement par leurs auteurs (cf les listes actualisées des "unpatched vulnerabilities" sur Secunia). Certains programmes sont conçus pour communiquer avec internet et il n'est donc pas souhaitable de les bloquer complètement par un firewall (navigateur web par exemple).
  • Incidents liés à l'environnement : les machines électroniques et les réseaux de communication sont sensibles aux variations de température ou d'humidité (tout particulièrement en cas d'incendie ou d'inondation) ainsi qu'aux champs électriques et magnétiques. Il n'est pas rare que des ordinateurs connaissent des pannes définitives ou intermittentes à cause de conditions climatiques inhabituelles ou par l'influence d'installations électriques notamment industrielles (et parfois celle des ordinateurs eux-mêmes).

Pour s'en prémunir, on recourt généralement à des moyens simples bien que parfois onéreux :

  • Redondance des matériels : la probabilité ou la fréquence de pannes d'un équipement est représentée par un nombre très faible (compris entre 0 et 1, exprimé sous la forme 10-n). En doublant ou en triplant (ou plus) un équipement, on divise le risque total par la probabilité de pannes simultanées. Le résultat est donc un nombre beaucoup plus faible ; autrement dit l'ensemble est beaucoup plus fiable (ce qui le plus souvent reporte le risque principal ailleurs).
  • Dispersion des sites : Un accident (incendie, tempête, tremblement de terre, attentat, etc.) a très peu de chance de se produire simultanément en plusieurs endroits distants.
  • Programmes ou procédures de contrôle indépendants : ils permettent bien souvent de déceler les anomalies avant qu'elles ne produisent des effets dévastateurs.

Risques juridiques

L'ouverture des applications informatiques par le web et la multiplication des messages électroniques augmentent les risques juridiques liés à l'usage des technologies de l'information. On peut citer notamment :

  • le non respect de la législation relative à la signature numérique,
  • les risques concernant la protection du patrimoine informationnel,
  • le non respect de la législation relative à la vie privée,
  • le non respect des dispositions légales relatives au droit de la preuve, dont les conditions d'application en droit civil sont différentes de celles de la Common law, et une mauvaise gestion des documents d'archive.
Liste des risques
- Introduction - Mesure des risques - Liste des risques
miniature
Cet objet métallique n'a pas été fabriqué sur Terre 🔧
miniature
1
Cette innovation permet aux voitures électriques de charger 6 fois plus vite par grand froid ⚡
miniature
Cette super-Terre brûle les attentes des astronomes 🔥
miniature
Découverte exceptionnelle de fossiles d'amphibiens géants 🐸
miniature
Voici ce qui a causé les toutes premières inégalités de richesse 💰
miniature
Quelle est cette zone étrange dans l'Atlantique Nord ? 🌊
miniature
Cette planète orbite à angle droit autour de deux étoiles, une première ! 🔭
miniature
Des cellules solaires flexibles battent des records d'efficacité ⚡
miniature
Ce dispositif reproduit les trous noirs et trous blancs en laboratoire 🌀
miniature
Record établi pour un transistor en diamant 💎
miniature
Les sursauts radio rapides trahissent enfin leur origine cosmique 📡
miniature
Ces biomarqueurs sanguins prédisent la démence 10 ans à l'avance 🧠
miniature
Découverte majeure: des médicaments 23 fois plus efficaces contre le cancer 💊
miniature
Les oscillations collectives des foules humaines denses 🔁
miniature
Une forme inconnue de la matière détectée au LHC ? ⚛️
miniature
Le sel, un facteur méconnu de l'obésité ? 🧂
miniature
L'Univers en rotation, une réponse élégante à ce problème astrophysique majeur 🌀
miniature
Découverte tectonique majeure sous les Petites Antilles 🌍
miniature
1
Peut-on geler en chauffant ? ❄️
miniature
Une peau électronique pour doter les robots du sens du toucher 👌
miniature
Invention d'un bois semi-transparent avec une technique...surprenante ! 🌳
miniature
Le cancer inscrit dans nos gènes dès la naissance ? 🧬
miniature
Des supernovae à l'origine de deux extinctions massives sur Terre ? 💥
miniature
Le passé verdoyant du plus grand désert du monde 🐪
miniature
Après les campagnes antivaccins, la rougeole revient en force aux États-Unis 😷
miniature
Des puces quantiques plus proches que jamais ⚡
miniature
1
Pourrons-nous bientôt communiquer avec les dauphins grâce à l'IA ? 🐬
miniature
En déplaçant deux atomes, des chercheurs transforment le LSD en médicament surpuissant 💊
miniature
Des scientifiques parviennent à produire efficacement du carburant à partir de monoxyde de carbone 🛢️
miniature
Que nous apprend la découverte de cet insecte de 16 millions d'années ? 🐜
miniature
Avec 91km, l'accélérateur FCC fera passer le LHC pour un jouet ⚛️
miniature
Cette vitamine développe les fonctions cognitives du cerveau 🧠
miniature
Comment des impacts géants vaporisent les corps planétaires ☄️
miniature
Les Américains riches vivent moins longtemps que les Européens pauvres 💰
miniature
Attention à ce riz naturellement riche en arsenic 🍚
miniature
L'intelligence artificielle contre la mort subite 💀
miniature
L'inévitable formation d'un océan de magma basal sur Terre 🔥
miniature
Découverte d'une plante étrange sans chlorophylle 🌱
miniature
Existe-t-il des mélodies naturelles ? 🎶
miniature
Cette exoplanète présente une signature de vie bien plus forte que celle de la Terre 👽
miniature
L'origine énigmatique des rayons cosmiques les plus énergétiques ⚡
miniature
1
Le diagnostic de l'autisme remis en cause par l'intelligence artificielle 🩺
miniature
Imprimer en 3D avec la lumière du soleil ☀️
miniature
La pollution atmosphérique nuit gravement au cerveau 🧠
miniature
Le trou noir supermassif Ansky vient de se réveiller ⚫
miniature
1
Voici ce qui rend notre cerveau vraiment unique 🧠
miniature
Asymétrie matière-antimatière: une nouvelle pièce du puzzle dévoilée 🧩
miniature
Neige en inuit, goût en japonais... comment les langues décomposent la réalité ? 💬
miniature
La physique révèle les secrets d'un strike parfait au bowling 🎳
miniature
Le TDAH associé à la démence 🧠
Page générée en 0.121 seconde(s) - site hébergé chez Contabo
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
A propos - Informations légales
Version anglaise | Version allemande | Version espagnole | Version portugaise