DÉFINITIONS DE LA SÉCURITÉ INFORMATIQUE

ÉLÉMENTS POUR UNE DÉFINITION THÉORIQUE 

« Security is a process, not a product », Bruce Schneier, Crypto-Gram Newsletter, May 15, 2000.

La sécurité informatique est trop souvent encore vue uniquement comme un ensemble de mesures opérationnelles de sécurité appliqué aux systèmes informatiques. En fait, il faut la voir comme un ensemble de mesures organisationnelles prises au niveau de la direction générale d'une organisation (entreprise, école, etc.) pour gérér le risque informatique, d'une façon formalisée. Cela est très proche de la gestion de la qualité.

Le but ultime est d'atteindre le niveau de confidentialité, de disponibilité, et d'intégrité des données, requis par la direction générale, qui est ultimement responsable, dans le cadre du budget qu'elle a alloué. Ce but doit être ré-évalué constamment par des analyses de risques et la proposition de contre-mesures.

La sécurité informatique est un processus de management, qui est formalisé, par différentes méthodes, par exemple IS0-27001 et ISO-27002, ITIL, COBIT, BSI-Grundschutz, etc. 

Il existe aussi des certifications pour les personnes, par exemple CISSP.

ÉLÉMENTS POUR UNE DÉFINITION DANS LE CADRE DE L'UNIVERSITÉ DE FRIBOURG 

Le règlement du 7 octobre 2003 sur la sécurité informatique insiste sur les points suivants :

  • la sécurité informatique est la gestion des risques informatiques ;

  • chacun à son niveau est responsable de ses actes par rapport à la sécurité informatique.

Sécurité  informatique   -   Bd de Pérolles 90    -   1700 Fribourg   -  Tél +41 26 300 7206    -   
securite-informatique [at] unifr.ch