t ressources installées avec le temps de réponse attendu. La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses act

d'information[modifier | modifier le code]

« Le système d'information représente un patrimoine essentiel de l'organisation , qu'il convient de protéger . La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » 1 .
Plusieurs types d'enjeux doivent être maitrisés :
L'intégrité : Les données doivent être celles que l'on s'attend à ce qu'elles soient, et ne doivent pas être altérées de façon fortuite ou volontaire.
La confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.
La disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation prévues, garantir l'accès aux services et ressources installées avec le temps de réponse attendu.
La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur.
L'authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange.
La sécurité informatique est un défi d'ensemble qui concerne une chaine d'éléments : Les infrastructures matérielles de traitement ou de communication, les logiciels ( systèmes d'exploitation ou applicatifs), les données , le comportement des utilisateurs . Le niveau global de sécurité étant défini par le niveau de sécurité du maillon le plus faible, les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d'information est censé apporter service et appui.
Deux types de dommages peuvent affecter le système d'information d'une organisation:
Les dommages financiers. Sous forme de dommages directs (comme le fait d'avoir à reconstituer des bases de données qui ont disparu, reconfigurer un parc de postes informatiques, réécrire une application) ou indirects (par exemple, le dédommagement des victimes d'un piratage, le vol d'un secret de fabrication ou la perte de marchés commerciaux). Un exemple concret : bien qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux liés au vol de numéros de cartes de crédit, ont été déterminés plus précisément.
La perte ou la baisse de l'image de marque. Perte directe par la publicité négative faite autour d'une sécurité insuffisante (cas de l'hameçonnage par exemple) ou perte indirecte par la baisse de confiance du public dans une société. Par exemple, les techniques répandues de defacing (une refonte d'un site web) permettent à une personne mal intentionné