Méthodologie de la sécurité

La sécurité informatique est obtenue en 3 étapes :

• faire appel à des principes généraux de bon sens,
• mettre en place des procédures d'organisation systématique de la sécurité (plan de continuité, plan de secours,...),
• créer les conditions d'une surveillance et d'une adaptation permanente aux risques émergents (RSSI, commission de sécurité...).

Pertinence et failles des dispositifs de sécurité

A priori le système "ultime", assurant une sécurité absolue n'existe pas. Par contre, la combinaison de plusieurs dispositions et dispositifs, adaptés, proportionnés, soigneusement installés, apporte semble-t-il un niveau de sécurité tout à fait satisfaisant.

Validité d'un dispositif de sécurité

Tout système dont on n'assure pas dans le temps le suivi, la surveillance ou la maintenance peut devenir pire qu'inefficace : carrément dangereux. Ne serait-ce que parce que l'on compte sur une protection inopérante.
Outre le soin à apporter lors de l'installation des systèmes de sécurité, des audits ou des remises en cause régulières et systématiques sont indispensables.

Obligation de prendre des dispositions en matière de sécurité

Accessoirement, chacun doit s'interroger dans le cadre de sa fonction et prendre les mesures de sécurité qui lui incombent. En cas de survenance d'un incident, les responsabilités peuvent être recherchées. Les obligations en ce sens son nombreuses :

• les dispositions concernant la protection des personnes (code du travail, droit à la vie privée..),
• les obligations concernant la protection des personnes et des biens en échange des garanties fournies par les contrats d'assurance,
• les obligations des responsables dans le simple exercice de leur travail vis-à-vis de leur employeur (voir le Dossier Lois et réglementations - Responsabilité personnelle.).
• les obligations des dirigeants vis-à-vis de leurs actionnaires (faisant désormais plus ou moins partie des contraintes prudentielles définies dans IAS et Bâle II).