Divers épisodes médiatiques ont éveillé les esprits aux risques informatiques qu'encourent les entreprises, sans forcément attribuer à chaque risque la part qu'il mérite.
On peut définir la sécurité d'une entreprise comme l'état de non-risque (ou de risque raisonnablement contenu).
Mais c'est surtout une activité de tous les instants, d'abord une affaire de bon sens : inutile de mettre des barreaux aux fenêtres si on laisse la porte ouverte.

Les conséquences du risque informatique portent sur 3 plans :

• opérationnel :même lorsque l'activité de l'entreprise n'est pas directement basée sur un process informatique, l'arrêt du service informatique a généralement pour conséquence un arrêt ou un ralentissement de la production de l'entreprise.
• financier :l'investissement informatique (matériel, logiciel, savoir-faire) constitue une part importante des actifs de l'entreprise,
• légal : une panoplie de réglementations imposent au décideur de veiller à la sécurité de son système d'information (Loi Informatique et Libertés, LCEN, Sarbanes-Oxley Act, LSF...).

Le risque peut être apprécié à l'aide d'un certain nombre d'indicateurs théoriques :

• performance : la performance de l'entreprise est menacée,
• progression, évolutivité : l'entreprise ne sera pas en mesure de répondre à de nouveaux enjeux,
• disponibilité : un élément de richesse de l'entreprise disparaît ou n'est plus accessible,
• conformité : l'entreprise n'est plus en mesure de prouver sa conformité à des règles légales ou éthiques.

Toute activité apporte sa part de risques, mais on dispose d'outils pour les limiter :

• gouvernance, stratégie : c'est bien par une gestion cohérente de l'ensemble des activités de l'entreprise, la motivation et la coordination de tous, que l'on limite le plus efficacement le niveau de risque global, le risque informatique est intégré dans cette démarche,
• standards de qualité, référentiels, meilleures pratiques : BS 7799, ISO 17799, Critères Communs, CMMI, CMM ou SW-CMM, ITILsont autant de repères précieux,
• engagements, niveaux de services : les engagements de services constituent l'un des moyens d'alerte en cas de baisse de performance du système d'information,
• législation : la législation ne peut pas seulement être appréciée en terme de contrainte. Obtenir la conformité légale c'est aussi répondre à des impératifs de comportement dictés par la société humaine et donc se mettre en partie à l'abri d'un certain nombre de problèmes comme, par exemple, des actions en justice.

Parmi les outils "normalisants" on peut discerner :
- les référentiels de bonnes pratiques, apportant une diminution des risques par la bonne santé du système d'information :

• BS 15000, ISO 20000: voir ci-dessous ITIL,
• ITIL: dédié à la qualité de fourniture de services informatiques en externe, comme en interne,
• CMMi: référentiel dédié au développement des systèmes et logiciels,
• COBIT : utilisé pour la gouvernance et l'audit des systèmes d'information et acteur important de la conformité à Sarbanes Oxley.

- les normes dédiées à la sécurité, qui définissent des grilles de critères à respecter :

• BS 7799, ISO 17799: code de bonnes pratiques dédiées à la sécurité des systèmes d'information,
• Critères Communs, ISO 15408 : qui concernent la certification de systèmes directement impliqués dans la sécurité comme les éléments de réseau,
• BSI PAS56 : qui définit les principes de création du BCM (Business Continuity Management), Gestion de la Continuité de Service.

Il y a seulement quelque années que le législateur s'est inquiété de l'importance stratégique des systèmes d'information. Il a institué une obligation de gérer les risques que courre le SI pour 2 motifs :
- pour sa valeur intrinsèque (actif matériel et immatériel) et pour la valeur de l'entreprise (ou plutôt celle qu'il lui ferait perdre en cas de défaillance) :

• Sarbanes-Oxley Act,
• Bâle II

- pour son rôle d'outil dans l'évaluation financière de l'entreprise et l'obligation faite désormais au SI de remonter de manière fiable et rapide toutes les informations permettant l'audit financier de l'entreprise :

• Bâle II
• IAS / IFRS
• LCEN
• LSF
• Sarbanes-Oxley Act

La mise en conformité du SI à ces dispositions est à l'origine d'une nouvelle préoccupation : la conformance, ou compliance.

La notion de PCA (Plan de Continuité d'Activité) ou BCP (Business Continuity Plan) n'a pas été inventée par le législateur, mais par les décideurs soucieux de la sécurité de leur outil de travail. Les entreprises sont toutefois fortement incitées à se doter d'un tel plan par Sarbanes Oxley ou Bâle II.
Dans les situations (majoritaires) où ces législations ne s'appliquent pas, il reste prudent d'en mettre un en place, ne serait-ce que pour prouver en cas d'incident que l'on a mis en oeuvre toutes les dispositions communément considérées comme raisonnables.

La majorité des incidents trouvent une part de leur origine au sein des membres de l'entreprise :

• soit une erreur humaine (par ex. cliquer sur un message curieux),
• soit une insuffisance dans la décision (analyse non exhaustive des risques, procédures périmées, formation ou information du personnel négligée...) ,
• soit une malveillance d'un membre du personnel (par ex. salarié mécontent)

Il est constant que les accidents se produisent à la faveur de la combinaison de plusieurs incidents. Par exemple, lorsque l'erreur humaine (cliquer sur un message curieux) se cumule avec une situation dangereuse (par exemple l'arrivée d'un message contenant un virus), parfois avec la combinaison d'autres risques (par exemple un poste individuel non mis à jour).
Ce cas de figure peut devenir probable lorsque l'utilisateur n'est pas un utilisateur "modèle" ou "standard", c'est le cas d'un commercial nomade, d'un intervenant occasionnel ou... du PDG ! toutes personnes susceptibles d'être moins sensibilisées aux risques techniques et dont le statut particulier du poste l'a peut-être mis à l'écart de la dernière mise à jour de sécurité.
Entre souplesse, efficacité et flaire, la dynamique de sécurisation du SI tient donc compte du facteur humain.

La menace la plus fréquente correspond aux actions extérieures volontaires (délictueuses ou non) sur des postes de travail individuels.
Les conséquences sont généralement faibles et peuvent même passer inaperçues, mais le nombre particulièrement élevé d'attaques de toute sorte rend cette menace particulièrement importante.
L'attaque d'un poste individuel peut précéder l'attaque globale d'une entreprise.