La sécurité des Systèmes d'Information

Introduction

La sécurité des systèmes d'information (SI) constitue un enjeu stratégique majeur pour les organisations, qu'elles soient publiques ou privées. Dans un contexte de transformation numérique accélérée, la dépendance croissante aux outils informatiques expose les entreprises à des risques nouveaux et évolutifs : cyberattaques, violations de données, pannes systèmes, erreurs humaines.

Pour le DCG UE8, la sécurité des SI s'inscrit dans une approche globale de la gouvernance des systèmes d'information. Elle ne se limite pas à des aspects purement techniques, mais englobe des dimensions organisationnelles, juridiques et humaines. Le gestionnaire comptable ou financier est directement concerné : il manipule des données sensibles (données clients, données financières, données sociales) et doit connaître les dispositifs de protection applicables.

> Cadre juridique de référence : Le Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679, applicable depuis le 25 mai 2018) constitue le texte fondateur en matière de protection des données personnelles en Europe. En France, la loi Informatique et Libertés du 6 janvier 1978, modifiée par la loi du 20 juin 2018, en assure la transposition nationale. La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle compétente.

---

1. Les fondements de la sécurité des SI

1.1 Définition et périmètre

La sécurité des systèmes d'information désigne l'ensemble des moyens techniques, organisationnels, juridiques et humains mis en œuvre pour protéger le système d'information contre les menaces intentionnelles ou accidentelles susceptibles de porter atteinte à sa disponibilité, son intégrité et sa confidentialité.

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), créée par décret n°2009-834 du 7 juillet 2009, est l'autorité nationale en matière de sécurité des SI en France.

1.2 La triade CIA : le modèle fondamental

Le modèle de référence en sécurité des SI repose sur trois propriétés essentielles, communément regroupées sous l'acronyme CIA (ou DIC en français) :

Propriété	Acronyme	Définition	Exemple de mesure
---	---	---	---
Confidentialité	C	Seules les personnes autorisées accèdent aux informations	Chiffrement, contrôle d'accès
Intégrité	I	Les données ne sont pas altérées de manière non autorisée	Signature numérique, hachage
Disponibilité	A (Availability)	Les informations sont accessibles quand les utilisateurs en ont besoin	Sauvegarde, redondance

Certains référentiels étendent ce modèle à deux propriétés supplémentaires :

• Non-répudiation : impossibilité pour un acteur de nier avoir effectué une action (signature électronique)


• Authenticité : garantie de l'identité de l'émetteur ou de la source d'une information

1.3 Les enjeux pour l'entreprise

La sécurité des SI conditionne :

• La continuité d'activité : toute interruption du SI peut paralyser les processus métiers (facturation, paie, gestion des commandes)


• La conformité réglementaire : le RGPD impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées (article 32 du RGPD). Le non-respect expose à des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros (article 83 du RGPD)


• La réputation : une violation de données peut entraîner une perte de confiance durable des clients et partenaires


• La responsabilité juridique : les dirigeants peuvent voir leur responsabilité civile et pénale engagée en cas de négligence avérée

---

2. Les menaces pesant sur les SI

2.1 Typologie des menaces

Les menaces sur les SI peuvent être classées selon leur origine et leur nature :

Catégorie	Nature	Origine
---	---	---
Menaces accidentelles	Pannes matérielles, erreurs humaines, catastrophes naturelles	Interne/externe non intentionnelle
Menaces intentionnelles internes	Fraude, sabotage, vol de données par un salarié	Interne
Menaces intentionnelles externes	Cyberattaques, espionnage industriel, hacktivisme	Externe

2.2 Les principales cybermenaces

#### Les malwares (logiciels malveillants)

Un malware (contraction de malicious software) est un logiciel conçu pour nuire à un système informatique. On distingue :

• Virus : programme qui se réplique en s'attachant à d'autres fichiers légitimes


• Ver (worm) : se propage de manière autonome sur un réseau sans nécessiter de fichier hôte


• Cheval de Troie (trojan) : programme apparemment légitime qui dissimule une fonction malveillante


• Ransomware (rançongiciel) : chiffre les données de la victime et exige une rançon pour la clé de déchiffrement. L'attaque WannaCry (mai 2017) a exploité une vulnérabilité du protocole SMB de Windows et a affecté des centaines de milliers de systèmes dans plus de 150 pays, illustrant la propagation mondiale possible d'un tel logiciel


• Spyware : logiciel espion qui collecte des informations à l'insu de l'utilisateur


• Adware : affiche des publicités non sollicitées et peut collecter des données de navigation

#### Le phishing (hameçonnage)

Technique d'ingénierie sociale visant à tromper un utilisateur pour qu'il divulgue des informations confidentielles (identifiants, numéros de carte bancaire) ou exécute une action malveillante. Les vecteurs principaux sont :

• Email frauduleux : usurpation de l'identité d'un organisme de confiance (banque, administration)


• Spear phishing : attaque ciblée et personnalisée visant un individu ou une organisation précise


• Smishing : phishing par SMS


• Vishing : phishing par appel téléphonique

#### Les attaques par déni de service (DoS/DDoS)

Une attaque DDoS (Distributed Denial of Service) vise à rendre un service indisponible en le submergeant de requêtes provenant de multiples sources (botnet). Elle peut cibler un site de commerce électronique, un service bancaire en ligne ou une infrastructure critique.

#### Les attaques sur le réseau

• Man-in-the-Middle (MitM) : l'attaquant s'interpose entre deux parties communicantes pour intercepter ou modifier les échanges


• Injection SQL : insertion de code malveillant dans une requête SQL pour accéder ou modifier une base de données


• Cross-Site Scripting (XSS) : injection de scripts malveillants dans des pages web consultées par d'autres utilisateurs

2.3 Les menaces internes

Selon les analyses de risque, les menaces internes représentent une part significative des incidents de sécurité. Elles incluent :

• La négligence ou l'erreur humaine (mot de passe partagé, pièce jointe ouverte par inadvertance, mauvaise configuration)


• La malveillance interne : vol de données, sabotage par un salarié ou un prestataire mécontent


• Le shadow IT : utilisation de logiciels ou services cloud non autorisés par la DSI, créant des failles de sécurité non maîtrisées

---

3. L'analyse et la gestion des risques

3.1 La démarche de gestion des risques

La gestion des risques en sécurité des SI suit un processus structuré :

```
Identification des actifs → Identification des menaces →
Évaluation des vulnérabilités → Estimation du risque →
Traitement du risque → Surveillance
```

Le risque se définit comme la combinaison de la probabilité d'occurrence d'une menace et de l'impact (gravité) potentiel sur l'organisation :