Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduction ................................................................................................................................. 1
1.
1.1.
1.2.
1.2.1.
1.2.2.
1.3.
2.
2.1.
2.2.
2.3.
3.
3.1.
3.2.
3.2.1.
3.2.2.
3.2.3.
3.2.4.
3.2.5.
3.2.6.
3.3.
Conclusion ................................................................................................................................. 17
Bibliographie................................................................................................................................. 18
Introduction
Dans les dernires annes, les technologies de linformation et de la communication
(TIC) sont devenues une partie intgrante de la vie quotidienne et professionnelle. Avec la
baisse tendancielle des prix des quipements numriques (informatique, lectronique grand
public, abonnement au rseau internet), lessor du haut dbit, la multiplication rapide de
nouvelles fonctionnalits et innovations des quipements, la diffusion et lutilisation des TIC
se sont intensifies.
Dans cette situation les Tics se sont intgrs dans le processus de l'activit de
l'entreprise de faon qu'ils sont devenus un lment indispensable pour avoir une meilleure
performance au niveau conomique, organisationnelle et commerciale. Cependant, les TICs
risquent de crer des problmes cause des menaces et du mal fonctionnement des oprateurs
qui peuvent provoquer des pertes normes. Alors, on voit bien la ncessit dintgrer un
systme de scurit du systme dinformations. Ce projet ncessite, dabord, une tude de
rentabilit.
Afin d'tudier cette rentabilit, on doit tout d'abord identifier le degr de dpendances
des entreprises vis--vis aux TICs, ainsi les risques qu'ils peuvent engendrer. Dans ce rapport,
nous commencerons par traiter ces deux points ensuite nous nous intresserons l'tude de
rentabilit de l'intgration des systmes de scurit informatique au sein de l'entreprise.
notamment
les
tlcommunications
traditionnelles,
linformatique,
la
soigner sa communication;
Modr : l'absence des TICs dans l'entreprise jusqu 48 heures est tolrable.
Faible : l'absence des TICs dans l'entreprise pendant une longue dure na pas de
consquence grave.
3
Figure 3:Dpendance des entreprises franaise l'informatique selon leurs secteurs d'activit
(Source: www.Clusif.asso.fr)
1.3.
Meilleure communication avec les collaborateurs, les clients et les partenaires, qui
permet
daccrotre
lefficacit
et
de
gagner
du
temps.
2.
nouveaux risques qui sajoutent aux risques classiques. Ces risques sont principalement lis
aux systmes informatiques et causent des incidents qui s'accentuent notablement chaque
anne.
2.1.
risques internes
risques externes
Les firmes danalystes telles que le Gartner Group soutiennent qu'entre 60 et 75 pour
cent de tous les incidents lis la scurit des TICs sont de source interne. Alors que les
mdias popularisent gnralement les attaques externes de pirates, plus spectaculaires et
mdiatiques.
Les menaces, dues des utilisateurs internes, sont lies tant de simples erreurs accidentelles
quaux purs vandalisme ou terrorisme, la fraude ou lespionnage.
Les utilisateurs internes constituent en outre une population particulirement experte, dote
daccs privilgis aux systmes dinformation, et donc dangereuse. De lemploy frustr
souhaitant se venger bon compte lescroc dsireux de senrichir, lespion la solde dun
concurrent au terroriste infiltr, ils constituent une menace particulirement srieuse.
2.3.
lvolution des risques de nature informatique, engendraient chaque anne des dgts
considrables et des pertes de milliards de dollars.
Le tableau ci-dessous montre quelques exemples de cots lis une indisponibilit du
systme dinformation. Le cot est dautant plus lev que le systme dinformation est au
cur du processus mtier de lentreprise (courtage, carte bancaire).
Le cot moyen et la dure moyenne dun incident pour une entreprise qui ne dispose pas un
plan de rcupration sur incident sont comme suit :
le temps de reprise : 20 23 jours
cots moyens / incident : 90 000 $ 112 500 $
La majorit des dgts sont dus une destruction, une modification ou une divulgation non
autorise des donnes ou encore une impossibilit d'obtenir une information ou un service.
Par ailleurs, les effets induits et souvent non directement mesurables peuvent s'avrer
catastrophiques pour l'entreprise ou l'organisme victime : atteinte l'image de marque ou
suppression d'emplois si le sinistre touche l'outil de production, loutil de vente ou le produit
vendu dans le cas d'un service par exemple.
3.1.
divergent. Le ROSI, est driv du ROI (Return On Investment), et peut tre compris comme
le gain financier net (en monnaie constante) dun projet de scurit au regard de son cot total
(investissement et fonctionnement) sur une priode danalyse donne.
L'une des formes d'expression la plus courante du ROSI est la suivante :
ROSI = (bnfices cots) / cots.
3.2.
11
Ne permets pas de faire la distinction entre les incidents doccurrence faible impact
potentiel lev (ex : incendie) et les incidents doccurrence leve impact potentiel
faible (ex : virus).
Reste discutable dans la mesure o il existe plusieurs thories possibles pour le calcul
de lALE et o il y aura toujours un dbat quant au caractre reprsentatif et fiable de
la base historique incidents gnre par lentreprise.
Rend le chiffrage ou lvaluation des dommages parfois difficiles, notamment lors
dimpacts sur le business.
3.2.3. ROSI orient analyse de risques
Au milieu des annes 90, lapproche de la scurit informatique prend une nouvelle
tournure. Grce lmergence dInternet, la scurit nest plus uniquement perue comme un
centre de cot, mais aussi comme un moyen de gnrer de nouvelles opportunits daffaires.
Cet essor fait galement progresser la sensibilisation aux risques et les vulnrabilits induites
par les SI ouverts vers le monde extrieur. De nouvelles approches de gestion des risques font
leur apparition, prenant davantage en compte les aspects organisationnels qui faisaient dfaut
aux mthodes de premire gnration. La scurit informatique slargit la scurit des
systmes dinformation
Cette approche calcule le ROSI en comparant le risque potentiel maximal pour lentreprise
par rapport au cot de la solution.
Avantages
L'analyse de risques est une approche qui a t largement employe et prouve dans le
cadre de l'utilisation de mthodes. Toute analyse, sans tre parfaite, a le mrite d'tre un bon
outil de sensibilisation interne. Son efficacit est renforce
Les techniques de quantification diffrent dune mthode lautre, voire dun expert
lautre, et le chiffrage de la quantification ou de la qualification du risque est souvent
sujet polmique.
12
3.2.5.
lISO17799, avec la norme ISO 13335 (politique scurit SI), ou avec des rglementations en
vigueur. Son processus de mise en place ne ncessite pas systmatiquement danalyse
quantifie des risques et prconise la mise en place des mesures de protection dcrites dans les
standards.
Avantages
13
Lapproche par les normes et standards est complmentaire aux mthodes danalyse
de risques ou dvaluation des enjeux, plus simple, et plus facile implmenter. Elle a comme
principal avantage de permettre aux socits de se prmunir contre le risque de ngligence et
donc de poursuite par des tiers. Cest une approche viable court terme qui repose sur
lefficacit des standards utiliss et qui est une trs bonne base de dpart, pour les entreprises
nayant pas encore atteint un premier niveau de maturit en scurit.
Enfin, c'est une approche souvent utilise pour mener des audits internes ou externes. Les
audits internes ou externes permettent de faire un tat des lieux et de sensibiliser le Business
sur la base d'un rfrentiel mtier : finance avec la LSF, sant avec la FDA, IT avec le
rfrentiel qualit... tant donn l'importance de ces audits, les projets de mises en conformit
sont en haute priorit ce qui amne renforcer la scurit efficacement et rapidement. Enfin,
avec l'appui de la qualit, un audit permet galement d'aligner les processus et systmes au
rfrentiel qualit de l'entreprise.
Limites
Parce que base sur des standards, lapproche par les normes et standards comporte le
risque de sloigner des spcificits propres lentreprise. Il existe des risques inhrents
lentreprise quil faut savoir prendre en compte. Enfin, elle ne constitue pas, proprement
parler pour les puristes, une variante de ROSI puisquelle ne prend pas directement en
compte les cots financiers.
3.2.6. ROSI orient benchmarking
Cette approche sappuie sur des pratiques observes chez la concurrence et les grands
reprsentants du secteur dactivit.
Avantages
Le benchmarking fournit aux socits une capacit didentification, chre beaucoup de
dirigeants.
Limites
Le benchmarking ne prend pas en compte les spcificits individuelles de chaque
entreprise et ne constitue pas proprement parler une variante de ROSI puisquil ne prend
pas forcment en compte la notion dinvestissement.
14
3.3.
projet, tout en sappuyant, les cas chant, sur des arguments qualitatifs ou
quantitatifs (sils existent)
une approche par lamlioration de la performance de certains processus de gestion
(dans le domaine de la lutte antivirale par exemple, la mise en place dun outil
dadministration centralise des versions de moteurs / bases de signatures pourra
induire des gains de productivit dans la gestion au quotidien et galement rduire
le cot du traitement des infections)
Enfin, trois facteurs vont influencer le choix du type dapproche :
le contexte conomique : Secteur dactivit et mtier de lentreprise (banque,
Synthse de la dmarche :
16
Conclusion
Aux termes de ce rapport, on peut conclure que la dpendance des entreprises aux
TICs s'est fortement accrue ces dernires annes. Cette dpendance varie d'une entreprise
l'autre et peut engendrer des menaces assez graves. Ainsi, il est dsormais important d'tudier
l'efficacit d'intgrer un systme d'information aux firmes en traitant les mesures appropries
et analysant les problmes de scurit qui pourraient les menacer.
Cependant, on peut signaler qu'un nombre assez important d'entreprises intgrent un
systme de scurit sans passer par une tude de sa rentabilit et son efficacit. Alors, ce
systme contient soit des lacunes soit des fonctionnalits inutiles dans la mesure quil soit
destin des conditions surestimes ou sous-estimes.
17
Bibliographie
Jean-Marc ROYER Scurier l'informatique de l'entreprise: Enjeux, menaces, prvention et
parades
Site Internet :
18