Les compromis

> Tech > Les compromis

Tech - Par iTPro - Publié le 24 juin 2010

Pendant le développement et la révision de la politique de sécurité, il faudra faire des compromis. Comme il n'existe pas de système de sécurité parfait, il n'y a pas de bonne ou de mauvaise sécurité.
Parfois, il faudra choisir entre adopter une nouvelle technologie et accroître la sécurité. Il

faut déterminer le degré de tolérance au risque. Si l’on est tenu
au secret professionnel (pour des dossiers médicaux, par exemple), on sera (ou
on devrait être !) plus strict que s’il s’agit de donner des scores de box office
à des sites Internet. Pour déterminer le degré d’acceptation du risque, il faut
prendre en compte les lois régissant la protection des données, leur degré de
confidentialité et leur valeur. Si quelqu’un, par exemple, vole certaines données
pour les vendre à des concurrents, quel sera le préjudice subi ? Moins il y a
de tolérance au risque et plus il faudra de mesures ou des couches de sécurité
pour imposer la politique de sécurité.

Mais il est tout aussi évident que, dans la pratique, pour rester dans la course,
il faut parfois prendre davantage de risques qu’on aimerait le faire. Au fur et
à mesure que les besoins changent et que de nouvelles technologies aident à protéger
les données, on peut être amené à accepter davantage de risques moyennant la mise
en place de nouvelles technologies pour minimiser les risques encourus. Dans certains
cas, il faudra modifier quelques aspects de la politique de sécurité pour refléter
les nouvelles exigences de gestion.

Dans d’autres cas, on préfèrera ne pas modifier la politique et mettre plutôt
en place une » acceptation du risque « . Une acceptation du risque se traduit généralement
par un addendum à la politique de sécurité, qui informe d’un écart bien particulier
par rapport à ce qui est établi, du pourquoi cet addendum est nécessaire, des
procédures de sécurité mises en place pour atténuer le risque et du moment où
cet écart devrait être résolu. Exemple d’acceptation du risque : on consent à
laisser fonctionner un logiciel tiers qui assure une fonction de gestion critique
sur le système, mais ne répond pas aux critères de sécurité des logiciels tiers,
tels que stipulés dans la politique de sécurité de l’entreprise. L’écart doit
s’accompagner d’un accord avant d’acheter le produit, stipulant que le fournisseur
corrigera les problèmes de sécurité dans la prochaine version du logiciel.

Bibliographie
Livres et redbooks
Woodbury, Carol et Wayne Madden. Implementing AS/400 Security, 4ème édition.
NEWS/400 Books, 2000.
OS/400 Security – Reference (SC41-5302-04)
Tips and Tools for Securing Your AS/400 (SC41-5300-04)

Articles de NEWS/400 et NEWSMAGAZINE
Botz, Patrick. » Designing Protection Setups for Web Applications « , NEWS/400,
novembre 1999.
Jilovec, Nahid. » Sécurisez votre environnement e-Business « , NEWSMAGAZINE,
janvier 1999.
Seiler, Denise. » Keep an Eye on Your AS/400 with Auditing « , NEWS/400,
février 1998.
Singleton, Brian. » Comment implémenter une sécurité au niveau objet AS/400
« , NEWSMAGAZINE, janvier 1999.
Woodbury, Carol. « Sécuriser les applications dès la conception. », NEWSMAGAZINE,
janvier 2000.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro - Publié le 24 juin 2010