Pendant le développement et la révision de la politique de sécurité, il faudra
faire des compromis. Comme il n'existe pas de système de sécurité parfait, il
n'y a pas de bonne ou de mauvaise sécurité.
Parfois, il faudra choisir entre adopter une nouvelle technologie et accroître
la sécurité. Il
Les compromis
faut déterminer le degré de tolérance au risque. Si l’on est tenu
au secret professionnel (pour des dossiers médicaux, par exemple), on sera (ou
on devrait être !) plus strict que s’il s’agit de donner des scores de box office
à des sites Internet. Pour déterminer le degré d’acceptation du risque, il faut
prendre en compte les lois régissant la protection des données, leur degré de
confidentialité et leur valeur. Si quelqu’un, par exemple, vole certaines données
pour les vendre à des concurrents, quel sera le préjudice subi ? Moins il y a
de tolérance au risque et plus il faudra de mesures ou des couches de sécurité
pour imposer la politique de sécurité.
Mais il est tout aussi évident que, dans la pratique, pour rester dans la course,
il faut parfois prendre davantage de risques qu’on aimerait le faire. Au fur et
à mesure que les besoins changent et que de nouvelles technologies aident à protéger
les données, on peut être amené à accepter davantage de risques moyennant la mise
en place de nouvelles technologies pour minimiser les risques encourus. Dans certains
cas, il faudra modifier quelques aspects de la politique de sécurité pour refléter
les nouvelles exigences de gestion.
Dans d’autres cas, on préfèrera ne pas modifier la politique et mettre plutôt
en place une » acceptation du risque « . Une acceptation du risque se traduit généralement
par un addendum à la politique de sécurité, qui informe d’un écart bien particulier
par rapport à ce qui est établi, du pourquoi cet addendum est nécessaire, des
procédures de sécurité mises en place pour atténuer le risque et du moment où
cet écart devrait être résolu. Exemple d’acceptation du risque : on consent à
laisser fonctionner un logiciel tiers qui assure une fonction de gestion critique
sur le système, mais ne répond pas aux critères de sécurité des logiciels tiers,
tels que stipulés dans la politique de sécurité de l’entreprise. L’écart doit
s’accompagner d’un accord avant d’acheter le produit, stipulant que le fournisseur
corrigera les problèmes de sécurité dans la prochaine version du logiciel.
Bibliographie Livres et redbooks Woodbury, Carol et Wayne Madden. Implementing AS/400 Security, 4ème édition. NEWS/400 Books, 2000. OS/400 Security – Reference (SC41-5302-04) Tips and Tools for Securing Your AS/400 (SC41-5300-04) Articles de NEWS/400 et NEWSMAGAZINE |
Téléchargez gratuitement cette ressource

Le Guide d’Orchestration du Parcours client
Au-delà de la clarification des nouveaux concepts de gestion du parcours client, ce guide vous permettra de définir, créer et mettre œuvre une orchestration complète articulée autour des trois volets essentiels au succès de l’expérience client et de l’entreprise.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Plateforme de protection applicative : le couteau suisse indispensable pour les développeurs et les équipes de sécurité
- Cohésion d’équipe & Collaboration numérique : un duo gagnant ?
- Cyber espionnage – Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive
- SEKOIA : de l’intelligence sur les menaces jusqu’à l’automatisation de la réponse !
- Les managers face à l’impact du télétravail
