Sécurité informatique : Les scénarii de risques


Risques informatiques : Les scénarii de risques

Risque de blocage par la neige

blocage par la neige

Dans un processus d’analyse des risques informatiques, il est bien aisé de trouver une méthode qui permette de les évaluer au travers des événements possibles susceptibles de les révéler.

Pour cela, voici une liste de risques qui peuvent toucher un système d’information et son environnement.

L’évaluation des risques se fait en appliquant une échelle selon leur gravité (voir plus bas).

Les risques

Indisponibilité passagère de ressources

  • Absence de personnel
  • Accident ou panne mettant hors service une ou plusieurs ressources matérielles
  • Bug logiciel
  • Impossibilité de maintenance
  • Vandalisme depuis l’extérieur
  • Vandalisme intérieur.
  • Indisponibilité totale des locaux

Destruction d’équipements

  • Catastrophe naturelle ou accidentelle
  • Incendie
  • Inondation
  • Terrorisme ou sabotage depuis l’extérieur

Performances dégradées

  • modification du logiciel
  • modification du matériel
  • Surutilisation accidentelle de ressources informatiques ou réseau
  • Surutilisation malveillante de ressources informatiques ou réseau

Destruction de software

  • Effacement de code exécutable ou de configurations
  • Écrasement accidentel d’un disque fixe
  • Effacement accidentel de logiciel
  • Vol ou effacement d’un support amovible
  • Effacement ou destruction de configurations logicielles utilisateurs

Altération de logiciel

  • Altération malveillante des fonctionnalités prévues d’une application via une bombe logique ou une porte dérobée,…
  • Modification volontaire des fonctionnalités prévues d’une application informatique
  • Modification volontaire ou accidentelle des fonctionnalités prévues d’une fonction bureautique (macro-instruction, feuille de calcul, etc.)

Altération de données

  • Accident de traitement
  • Erreur de saisie

abonnez_vous_ICI_a_la_Newsletter

Manipulation de données

  • Données applicatives faussées pendant la transmission
  • Rejeu de transaction (doublement de la transaction)
  • Saisie faussée de données
  • Substitution volontaire de supports
  • Manipulation de fichiers
  • Falsification de message

Divulgation de données ou d’informations

  • Accès au système et consultation
  • Captation d’informations fugitives
  • Vol de documents écrits ou imprimés
  • Détournement d’informations en transit
  • Détournement d’informations temporaires générées par les systèmes

Détournement de fichiers de données

  • Accès au système et copie de fichiers de données applicatives
  • Vol de supports de données applicatives
  • Accès aux serveurs et copie de fichiers bureautiques
  • Détournement de code source

Perte de fichiers de données ou de documents

  • Effacement par bombe logique
  • Effacement de supports par virus
  • Effacement malveillant direct de supports
  • Perte accidentelle de fichiers
  • Vol de supports
  • Perte accidentelle de documents

Sinistre immatériel total

  • Effacement de fichiers par bombe logique
  • Effacement malveillant des supports

Non-conformité à la législation et à la réglementation

  • Attaque d’une tierce société
  • Violation des droits de propriété industrielle
  • Chaque scénario de risque est associé à :
    • un ou plusieurs éléments d’infrastructure dotés de besoins DIC,
    • une ou plusieurs menaces affectées d’une probabilité d’exposition,
    • une ou plusieurs mesures de sécurité plus ou moins matures.

abonnez_vous_ICI_a_la_Newsletter

L’évaluation des risques

Un risque est plus ou moins grave pour l’entreprise.

L’échelle à appliquer pour chaque ligne de la liste précédente des risques va de 1, non significatif, à 4, insupportable.

Par exemple, une panne qui empêche l’accès à distance à votre serveur, alors qu’il contient votre site de e-commerce, a pour impact une perte sèche des commandes qui n’auront pas été passées ainsi que la perte de clients qui ne reviendront pas à cause de l’indisponibilité du site, sans compter la mauvaise réputation qui repoussera tout nouveau prospect. C’est insupportable car très grave.

Philippe Garin, plus de 20 ans de management en entreprise

Pour mieux protéger vos données et vos équipements informatiques, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Lexique informatique
Iphone Blackberry et autres smartphones : Sources de danger pour la sécurité de vos informations
Sécurité des données en entreprises : Les 12 bons réflexes

Keylogger : Espionnage facile de votre PC
Sécurité informatique : 1 milliard de dollars volé
Smartphone : Autodestruction dans 5 secondes

Autres Informatique, Organisation et Sécurité :

Récapitulatif 14 Informatique
Récapitulatif 14 Organisation
Récapitulatif 14 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Description des besoins : La Méthode DIC


Méthode DIC de description des besoins

Méthode DICPour tout projet informatique, il est indispensable de bien décrire les besoins afin de trouver la solution, achat, développement ou un mixte des deux, qui va répondre aux besoins.

Encore faut-il que les besoins soient bien décris et compris.

La méthode DIC est une aide à la rédaction des besoins informatiques :

DIC = Disponibilité, Intégrité, Confidentialité

Disponibilité

C’est la qualité d’une ressource informatique à être utilisable à la demande.

La disponibilité permet aux utilisateurs, selon leur niveau d’autorisation, d’accéder aux ressources du système d’information, tant informatiques (réseau, imprimante, etc.) que des informations (fichiers, programmes, etc.) et aux moments qu’ils ont choisis.

La disponibilité suppose la suppression de toute panne ou la mise en place de relais en cas de panne : PCA et PRA

Intégrité

C’est la qualité d’une ressource informatique à résister à l’altération, à la destruction par accident ou malveillance. C’est l’assurance que les données sont inchangées durant le transport ou dans le fichier d’origine.

Exemples : L’intégrité des données permet de s’assurer que les données d’un tableau de bord de pilotage sont correctes et bien issues des bases de données que l’on souhaite.

Confidentialité

C’est la qualité d’une ressource informatique à être connue uniquement par les personnes autorisées

Seules les personnes autorisées ont accès à l’information d’origine ou transmise au destinataire.

Les deux techniques les plus utilisées sont l’accès par mot de passe et le chiffrement des données avec clé de décryptage connue seulement de l’émetteur et du récepteur (messagerie, accès à distance, etc.)

Finalité de la méthode DIC

Le principe de la méthode DIC est de poser les questions relatives à la disponibilité, à l’intégrité et à la confidentialité d’un point de vue purement informatique.

Le champ d’application de cette méthode est large.

D’un côté, la description des besoins fonctionnels est indépendante de la description des besoins DIC. Tous les projets qui touchent à l’informatique ou/et au système d’information sont concernés, quel que soit de domaine fonctionnel de l’entreprise.

De l’autre, la description des besoins par la méthode DIC permet de rédiger des cahiers des charges pour des logiciels ou progiciels, des études de risques et de sécurité informatique (physique) et de systèmes d’information (immatériel).

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Lexique informatique
Identification Exigence de conservation des données
Choix par évaluation de projet

Vérification des comptabilités informatisées (code des impôts)
Open space : des solutions matérielles
Démission d’un salarié = fuite d’informations : Comment s’en prémunir

Autres Informatique, Management, Organisation et Sécurité :

Récapitulatif 14 Informatique
Récapitulatif 14 Management
Récapitulatif 14 Organisation
Récapitulatif 14 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Liste des risques de sécurité informatique


Liste des risques de sécurité informatique

foudre

foudre

La liste des risques de sécurité informatique ci-après, bien que non-exhaustive reflète un spectre important de risques, contre lesquels des mesures de sécurité sont à mettre en place.


Physiques

Incendie : Destruction totale ou partielle d’équipements
Dégât des eaux, crue : Destruction totale ou partielle des locaux ou équipements (ex : foudre)
Pollution : Présence de vapeur, de gaz corrosifs ou toxiques
Accidents majeurs : Explosion de sites industriels, accident d’avion

Naturels

Phénomène climatique : Conditions extrêmes de chaleur et de froid
Phénomène sismique, volcanique : Zone à risque
Phénomène météorologique : Foudre, tempêtes, ouragans, pluies de grêle

Perte de services essentiels

Défaillance de la climatisation : Son arrêt peut provoquer le dysfonctionnement ou l’arrêt du SI
Perte d’alimentation énergétique : Fermeture du fournisseur d’électricité, coupure accidentelle, eau (climatisation)
Perte des moyens de télécommunication : Absence de réseau téléphonique

Rayonnements

Rayonnements électromagnétiques, thermiques : Radar, antenne radio,rayonnements etc… (micro coupures)

Compromission des informations et des fonctions

Interception de signaux parasites compromettants : Possibilité de se connecter aux câblages, tuyauteries etc…
Espionnage à distance / Ecoute passive : Surveillance de l’activité (câble, réseau…
Vol de supports ou de documents : Vol de supports magnétiques ou papier
Vol de matériels : Micro ordinateurs, modems, etc.
Divulgation interne / externe : Accidentelle ou intentionnelle (téléphone télécopie, messagerie..)
Informations sans garantie d’origine : Faux ou contrefaçons (atteinte fiabilité des informations)
Piégeage du matériel : Pour permettre l’interception et la transmission d’informations
Utilisation illicite du matériel : Pour bénéficier des services rendus par le système
Piégeage du logiciel : Fonctions cachées (virus, cheval de Troie, trappe, canal caché..)
Abus de droit : Ex-administrateur réseau qui modifie les caractéristiques d’exploitation
Usurpation de droit : Usurpation d’identité / substitution (interception//connexion)
Fraude : Monétaire / Ex : utilisation codes carte bleue
Altération du logiciel : Action visant à altérer ou détruire les programmes (ex: bombe logique)
Copie frauduleuse du logiciel : Copies pirate par le personnel
Utilisation de logiciels contrefaits ou copiés sans le savoir  Rattrapage de licences dues
Altération des données : Interception avec modification, balayage (numéros d’accès), virus
Atteinte à la disponibilité du personnel : Maladie ou tout empêchement, volontaire (absentéisme…)

Défaillance technique

Panne matériel : Usure, vieillissement, défaut de maintenance, mauvais emploi
Dysfonctionnement matériel : Dégradations, erreurs de programmation…
Saturation du matériel : Engorgement, dépassement calcul, stockage, requêtes…
Dysfonctionnement logiciel : Mauvaise conception, installation, modifications du logiciel
Atteinte à la maintenabilité du SI : Pb fournisseurs, pb administratif (séquestre des programmes source)

Agression Physique, Erreur

Destruction des matériels : Ex : sabotage des supports de données
Reniement d’actions : Id répudiation = négation de participation à un échange d’informations
Erreur de saisie : Ex : données fausses
Erreur d’utilisation : Manipulation, utilisation matériels, virus

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :


En complément :

Services de lutte contre la cybercriminalité
Liste de mesures de sécurité informatique
Menace – Vulnérabilité – Risque

Schéma général d’un Plan de Reprise d’Activité (PRA)
Parefeu : Utilité et risques
Devise 008 : Petits caractères entraînent grand risque

Autres Informatique et Sécurité :

Récapitulatif 1 Sécurité
Récapitulatif 3 Sécurité
Récapitulatif 3 Informatique

Tous les articles de ces catégories sont listés dans la page Informatique et la page Sécurité de la page Autres catégories

abonnez_vous_ICI_a_la_Newsletter