DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE 2018 DU GROUPE DESCOURS & CABAUD 23 LES FACTEURS DE RISQUES, LEURS CONSÉQUENCES ET LES MOYENS DE MAÎTRISE Quatre composants regroupent les fondements de la sécurité de l’information et doivent être garantis à tout moment : • Sa disponibilité : la disponibilité est le fait de garantir que la donnée soit accessible, de manière à pouvoir, entre autres, répondre dans les meilleurs délais aux demandes de nos clients. L’indisponibilité de l’information a un impact financier direct sur l’activité et le chiffre d’affaires. Cette indisponibilité peut avoir des causes externes, liées à des cyber-attaques ciblant nos services e-commerce, mais peut également avoir des causes techniques qui affectent nos équipements informatiques et nos équipements réseaux, ou bien encore des causes humaines, qu’il s’agisse d’erreurs ou d’actions malveillantes. • Son intégrité : l’intégrité consiste à garantir l’exactitude et la complétude des données manipulées, et à s’assurer que l’information ne subit aucune modification de son fond ou sa forme lors de sa transmission, de son traitement ou de son stockage. Il faut donc être certain que l’information soit lisible dans son exactitude et également dans son intégralité. Cette perte d’intégrité peut avoir des impacts opérationnels et financiers sur notre activité, générer des fraudes, et des impacts d’ordre juridiques (nonrespect des accords contractuels). La perte d’intégrité peut être liée, par exemple, à une défaillance dans le contrôle d’accès aux données permettant des manipulations illicites. • Sa confidentialité : la confidentialité est le fait de garantir que l’information ne soit accessible qu’aux personnes habilitées pour leur mission. La perte de confidentialité, conduisant à une divulgation d’information à des personnes non autorisées peut avoir des impacts financiers sur notre activité, des impacts légaux (non-conformité à nos obligations), mais aussi des impacts sur l’image de l’entreprise. La perte de confidentialité provient généralement d’une mauvaise gestion des accès, d’insuffisance de mesures de protection des données. • Sa traçabilité : la traçabilité consiste à avoir la visibilité des actions pouvant affecter la qualité de l’information. En cas d’incidents, il est essentiel pour l’entreprise d’analyser les causes et les effets en vue d’actions correctives et préventives. Les impacts inhérents sont opérationnels (par exemple, incapacité à détecter une intrusion sur un site e-commerce) et potentiellement légaux (par exemple, incapacité à détecter les violations de données à caractère personnel). Une absence de visibilité est généralement liée à l’absence de moyens techniques et organisationnels. Toute perte ou compromission de l’information peut porter un coup fatal à l’entreprise, qui doit donc tout mettre en œuvre pour protéger ses informations contre des menaces externes ou internes : • La fuite de données par des éléments internes à l’entreprise et qui correspond à un vol de l’information ainsi qu’à une diffusion auprès de tiers qui, normalement, ne doivent pas y avoir accès. • L’espionnage, qui peut être fait dans le but de voler les informations que possède l’entreprise, tel des prix, des méthodes de travail, un savoir-faire particulier. Ainsi, sans le savoir, un grand nombre d’entreprises livrent actuellement, chaque jour, leurs informations les plus confidentielles à leurs concurrents. • Le sabotage, qui peut être fait dans le but de rendre inaccessible, détruire ou de fausser des informations que possède l’entreprise.
RkJQdWJsaXNoZXIy MTQ0MjA1