La sécurité c’est non seulement s’organiser, c’est aussi prévoir les incidents. L’illustration souvent retenue par les experts en sécurité informationnelle est que les renseignements sensibles gardés dans l’ordinateur peuvent être absolument en sécurité si l’ordinateur en question est déconnecté de tout, gardé dans un bloc de béton, largué au bon milieu de l’océan, dans un endroit inconnu de tous. Mais dans le monde des affaires, des risques doivent être pris ou assumés de façon à garantir la survie de l’entreprise et l’efficacité des systèmes de l’information. Parce qu’aucun système ne sera jamais absolument (ni presque) sécuritaire, l’alternative est de reconnaître qu’un certain niveau de risque est nécessaire pour garantir la survie de l’entreprise dans le monde commercial et prendre les mesures adéquates pour gérer ce risque, soit par l’entremise de la technologie ou procédures techniques, soit en transférant le risque résiduel à un tiers par la voie contractuelle ou par l’assurance. 112
Les méthodes d’évaluation des menaces et des risques (EMR) permettent de déterminer la nature et le niveau des mesures que l’on devra mettre en place en fonction des exigences en matière de confidentialité, d’intégrité et de disponibilité du système d’information et des données personnelles, en fonction de leur degré de sensibilité. Bon nombre de responsables ne savent pas comment aborder les EMR. N’ayant pas de méthode, ils procèdent au coup par coup, errant du « de toute façon, ça ne sert à rien », au « vaut mieux en faire de
trop que pas assez ». Une approche méthodologique explicite, soit l’élaboration des modèles,
définition des procédures, caractérisation du « cycle de vie », permettra les décisions cohérentes et raisonnées.113
Les investissements en sécurité doivent être en équilibre avec le niveau de risque et de dégâts supportés par l’entreprise en cas de vulnérabilité informatique. Les techniques d’évaluation des risques peuvent être appliquées à toute l’entreprise, ou à certaines parties, à des systèmes informatiques individuels, à certaines composantes ou services. Le résultat de cette analyse de risques guidera l’entreprise dans le choix des mesures de protection à adopter et dans la gestion de la sécurité.
L’initiation du processus d’analyse et de gestion des risques commence par la sensibilisation aux risques encourus par l’entreprise d’une personne influente au sein de l’administration. Il faudra insister sur la nécessité d’établir et de faire respecter une politique de sécurité. De cette sensibilisation résultera deux choses : l’élaboration d’une politique brouillon et la formation d’une équipe de personnes compétentes en informatique et les représentants de
111 Pour un guide détaillé sur l’analyse des risques voir, Gary STONEBURNER et al., Risk Management
Guide for Information Technology Systems, National Institute of Standards and Technology, SP 800-30, Washington, 2001.
112 Concernant les contrats d’assurance informatique voir, Paul VAN HOUTTE, « Les assurances », dans
J. HUBIN, Sécurité informatique, entre la technique et droit, C.R.I.D., Facultés universitaires, Notre-Dame de la Paix de Namur, Story-scientia, 1998, p. 241.
113 R. LONGEON et J.L. ARCHIMBAU, Guide de la sécurité des systèmes d’information – à l’usage des
divers départements, dont le juridique.114 Avant de commencer l’analyse des risques, nous rappelons l’importance des connaissances générales en droit, notamment les diverses obligations juridiques en matière de protection de renseignements personnels et l’émergence de la culture de sécurité décrite dans divers textes des organisations internationales.
Lorsqu’un individu accepte de partager des informations personnelles avec un tiers, dans ce cas-ci une entreprise, il court certains risques, c’est à dire, un événement incertain dont la survenance provoque un dommage ou une atteinte à un droit. Ces risques peuvent être résumés comme suit : la perte de contrôle sur les données, la réutilisation des données par une personne non autorisée ou non identifiée, la non conformité des données et leur inexactitude.
L’un des premiers risques rencontrés survient lorsqu’un individu visé par les renseignements ne sait plus qui sait quoi à son sujet, se résumant en une perte de contrôle sur les informations. Si en plus une entreprise ne met pas en place des mesures de sécurité adéquates, les données recueillies peuvent être réutilisées à des fins différentes de celle annoncée à l’origine ou utilisées par des personnes non autorisées. Le risque d’utilisation de données non exactes ou qui ne sont pas actuelles peut mener à la prise de décisions injustes par les utilisateurs des données. Ce risque peut causer un dommage considérable puisqu’il est normalement difficile de corriger les données une fois celles-ci partagées avec des tiers.
Nous l’avons vu, le risque de traitement des renseignements personnel pourra varier selon la sensibilité de ces derniers. Plus une donnée est de nature sensible, plus le risque augmente. Un autre facteur pouvant influencer le niveau de risque est le volume de données gardées et le nombre de personnes impliquées. Mais, la technologie employée influence grandement le risque. Un ordinateur isolé et non connecté au réseau présente à première vue moins de risque que la sauvegarde de données personnelles par des systèmes interconnectés, où un usager est en mesure de se brancher de n’importe quel poste de travail. De plus, si le transfert de données s’effectue via Internet, le risque d’interception et de réutilisation est beaucoup plus éminent que celui effectué sur un réseau fermé et privé, comme le réseau bancaire par exemple.
En tenant compte de tous ces facteurs pouvant influencer le niveau de risque auquel l’entreprise est confrontée, il faudra procéder à son découpage sur la base des ressources, des partenaires, secteurs d’activité, division géographique, départements, services ou fonctions. On sera dès lors en mesure d’établir pour chaque entité une fiche d’identité reprenant son organisation, sa situation au sein de l’entreprise, son importance, ses clients, fournisseurs et liens. Une fois ceci terminé, le pas suivant consiste en la définition du type d’accès nécessaire et des personnes pouvant y accéder. Une fois que l’entreprise comprend comment chacun usager peut accéder aux diverses informations, elle devra analyser la sensibilité de ces dernières et les risques d’être volées, endommagées ou détruites.
Avant de définir clairement nos besoins en matière de sécurité, il faut effectuer un inventaire du système informatique et une classification des informations (énoncés de sensibilité) gardées par ces systèmes. Nous aurons la possibilité d’étudier la classification des informations personnelles lorsque nous parlerons des mesures administratives dans la deuxième partie de ce mémoire. Faire l’inventaire s’agit essentiellement de repérer les biens manipulés au sein de l’entreprise. Cet exercice devra déboucher à une description des biens, indiquant pour chaque bien la description, sa localisation, le responsable. On pourra dès lors les regrouper par type de perte.
114 J. HUBIN, précitée, note 110, p. 21.
Ensuite, pour chaque bien identifié, il faudra déterminer les problèmes attendus. Notons qu’un inventaire exhaustif des failles des biens est impossible. Pourtant, il est possible d’établir une grille d’analyse chiffrant les pertes prévues. D’après cette grille, nous serons en mesure d’évaluer les pertes engendrées par un type de problème ou l’absence totale de mesures de sécurité engendre une perte égale à la valeur totale du bien. Pour chacune des ressources vulnérables, faire une liste des menaces pouvant causer des dommages et déterminer leur probabilité.
La probabilité de survenance est évaluée en fonction du passé. Elle dépendra des mesures de sécurité implantées et devra être chiffrée de façon précise. En fonction de cette probabilité de la menace et de la valeur des biens, nous sommes en mesure de calculer un facteur de risque pour chacun d’eux. On doit garder à l’esprit que l’impact commercial d’un incident dépend toujours du coût et du temps.
L’analyse des facteurs de risque permettra à l’entreprise de classer les risques et les biens à risque selon leur importance (graves, légers, bénins) et se concentrer sur les mesures à mettre en œuvre avec plus d’urgence.
Finalement, le comité responsable de l’analyse des risques devra préparer un exposé pour convaincre l’administration des avantages d’un programme de sécurité. L’objectif est de persuader les personnes influentes que la sécurité est rentable à long terme et qu’il est toujours préférable de procéder à l’examen avant l’avènement d’un incident pouvant avoir un impact sur les activités quotidiennes de l’entreprise que procéder à l’autopsie de l’entreprise. Le rapport de l’analyse des risques devra fournir à l’administration une vision complète du niveau actuel de sécurité, ses défauts, les obligations imposées par les lois, la possibilité des pertes, l’état de sécurité de la concurrence, etc. Ce rapport donné à l’administration de l’entreprise facilitera le déroulement des phases de sensibilisation, de formation, de définition des responsabilités et permettra de diminuer les délais d’applications. Bref, le rapport sert de base à l’élaboration technique du programme de sécurité, thème que nous aborderons de manière significative dans la deuxième partie du mémoire.