Nulle sécurité sans sensibilisation

Pour Karim Gassemi, enseignant chercheur, la sécurité d'un système informatique fait souvent l'objet de métaphores. Il la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Entretien.

ALM : Face à la question de la sécurité informatique dans l'entreprise, quels moyens faut-il mettre en œuvre ?

Karim Gassemi : Le système d’information au sein d’une entreprise, quelle que soit sa taille, joue un rôle de support et d’accompagnateur dans l’accomplissement des objectifs stratégiques.
Préserver l’information et sa valeur dans un milieu très compétitif et fortement concurrentiel est indispensable. D'une manière générale, la politique de sécurité informatique se base sur deux dimensions : d’une part, elle consiste à assurer que les ressources matérielles ou logicielles du système d’information sont uniquement utilisées dans le cadre où il est prévu qu'elles le soient, et d’autre part, elle est étudiée de telle manière à pousser nos utilisateurs d’utiliser le système d'information en toute confiance. La politique de sécurité couvre généralement les points suivants :
L'intégrité de l’information, c'est-à-dire garantir que les données sont bien celles qu'on croit être.

La confidentialité de l’information, consistant à assurer que seules les personnes autorisées ont accès aux ressources.

La disponibilité de l’information, permettant de maintenir le bon fonctionnement du système informatique. Cette approche de la sécurité se matérialise par des actions concrètes : formalisation des procédures de sauvegarde et d’archivage en temps réel de toutes les informations traitées par le système d’information. Ces procédures automatiques sont opérationnelles chaque jour et permettent de sauvegarder, au jour le jour, le capital informationnel d’une entreprise.

Les mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs possèdent uniquement les droits qui leur ont été octroyés. Dans ce sens, chaque utilisateur du système d’information aura un profil qui lui permettra d’accéder à une partie du système d’information nécessaire pour accomplir la mission relative à son poste. Cette authentification est consignée dans un document et validée par la hiérarchie du salarié en question.

Mise en place d'une solution antivirale : Son rôle est de protéger l'infiltration et la propagation des virus aussi bien au niveau du réseau local qu'au niveau des sites distants au cas ou l’entreprise disposerait de plusieurs antennes.

Mais la mise en place de ce système doit être accompagnée d'une dimension pédagogique auprès du personnel ?

Certainement. La sensibilisation de l’ensemble du personnel est un facteur important pour la réussite de ce genre de projet. Des actions concrètes notamment l’organisation des séminaire et de conférences, la sensibilisation par le biais du journal interne aux effets et conséquences néfastes de la non-sécurité, la distribution des documents retraçant les consignes de sécurité concourent évidemment à instaurer une culture de sécurité informatique au sein d’une structure.

Vous est-il arrivé un jour d'être confronté à la perte d'informations capitales pour une entreprise pour laquelle vous avez travaillé?

Pas à ma connaissance. On ne peut pas se permettre une telle erreur. Un système de sécurité informatique doit au minimum assurer cet objectif, qui est la conservation et la restitution des informations à tout moment. Encore plus, des entreprises mettent en place des procédures de continuité par domaines fonctionnels garantissant la continuité de l’exploitation du système informatique en cas de besoin.

En d’autres termes, la sécurité informatique est-elle une démarche qui s’inscrit dans le temps?

La sécurité informatique est un projet qui doit vivre avec l’entreprise. Tant que l’entreprise est en activité, elle traite de l’information donc elle a besoin pour développer encore plus son système de sécurité. Au sein du département informatique, il s’agit de développer davantage le système en greffant d’autres technologies capables de maintenir une bonne prestation en matière de sécurité. Une deuxième préoccupation est celle de maintenir et développer encore plus la culture sécurité chez les utilisateurs, en multipliant les actions de sensibilisation dans ce domaine.

Comment se protéger des intrusions ou du spamming lorsque vous êtes connectés sur la Toile?

C’est vrai, la mise en place d’Internet constitue une opportunité et une menace. Une opportunité, si on prend en compte tous les bénéfices apportés par le réseau des réseaux et au même temps une menace d’intrusions externes. La politique la plus sage est d’interdire des accès extérieurs par la mise en œuvre des pare-feu capables de détecter et d’interdire surtout tout accès externe au système d’information. En interne, l’accès à Internet doit être soumis à un filtrage URL par le biais de la technologie Web sens.