Btscom1 COMMUNICATION

A propos de sécurisation (II).

1.       La « sécurisation d’un système d’information » concerne aujourd’hui très souvent des systèmes informatiques, vis-à-vis desquels, comme vu dans la fiche précédente (sécurité I), les dangers sont de l’ordre de l’accident –(pannes d’appareil, sinistres divers : feux, explosions, courts-circuits etc) de l’erreur humaine (oubli, erreur d’utilisateur etc) ou de  la malveillance (attaques, virus, intrusions etc). On ne doit cependant pas oublier que la formule « système d’information » ne désigne pas à tout coup ou uniquement des systèmes informatiques.

2.       Avant même le développement de l’informatique, il existait des « systèmes d’information » : réunions, affichage, comptes rendus, entretiens, rendez-vous, réseaux d’informateurs, journaux, notes, cahiers de liaisons, archives, notices, procédures écrites, vade mecum etc constituaient déjà, pour peu qu’ils aient été mis en place de façon méthodique, des systèmes d’information.

3.       Aujourd’hui encore, les systèmes d’information ne sont pas toujours en tout numérique. Cela pour des raisons diverses :

-certains destinataires/utilisateurs ne sont pas toujours connectés dans le cadre de leur travail (ouvriers sur le terrain/salariés en déplacement etc ;

-certains destinataires préfèrent pour des raisons d’habitude ou de génération des informations « papier » ou données en face à face.

-certaines informations sont trop confidentielles pour risquer une intrusion ou un espionnage informatique.

4. La sécurisation passe donc parfois par des actions de protection qui ne relèvent pas de l’informatique : rendez-vous confidentiels, utilisations de lieux sécurisés, déplacements des informateurs, limitation du nombre de destinataires, usage de l’oralité pour éviter les fragilités de l’écrit etc

5. On ne saurait confondre les problématiques : on peut vouloir sécuriser le résultat d’un travail de veille parce qu’il a réclamé temps, énergie et argent et/ou qu’il contient des éléments qui doivent rester confidentiels en interne : on veillera alors à réduire les destinataires et, à l’extrême, ne transmettre que des informations orales lors de rendez-vous discrets ou juste éviter qu’un système interne,, sans être secret, ne soit exploité par tous (auquel cas, par exemple, la simple présence de logins/ mots de passe etc) peut suffire.

En d’autres termes, on peut vouloir éviter que des concurrents ne s’emparent d’informations précieuses, auquel cas on peut, par exemple, sortir les documents de tout circuit informatique ou, au moins, de tout disque dur et de toute circulation mail/internet (attention un document mis à la corbeille/ corbeille vidée n’est inaccessible).

Remarquons que souvent un résultat ponctuel et d’ordre stratégique –étude, recherche – est destiné à une diffusion restreinte et sécurisé, alors que souvent un système d’information qui a une fonction plus opérationnelle, relève plutôt d’une problématique de bonne circulation de l’information ou de diffusion maximale, sans avoir nécessairement besoin de sécurisation, si ce n’est contre les contrefaçons et/ou intrusions malveillantes.

On peut, ce qui reste difficile, vouloir à la fois qu’un système d’information soit efficacement divulgué en interne mais non accessible à l’extérieur.  On se doute alors que les solutions relèvent du droit du travail et des contrats, de la motivation des salariés et du management, de l’implication des destinataires dans la volonté de protection des données etc…Toute recherche de sécurisation n’a pas son entière solution dans la technique (mots de passe, traçabilité etc ne sont rien sans la volonté des destinataires de respecter les valeurs et les biens de leur structure.

XB/IFC/ btscom1.blog4evr.com