Objectifs de la protection et de la sécurité
Disponibilité : le système doit fonctionner sans faille durant les plages d'utilisation prévues et garantir l'accès aux services et ressources installées avec le temps de réponse attendu.
Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets.
Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.
Traçabilité (ou « preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.
Authentification: l'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange.
Non-répudiation : aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées
Imputation :aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur.
Ecosystem en matière de sécurité
Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI)
http://www.ssi.gouv.fr/
ACYMA
dispositif gouvernemental contre la cybermalveillance et sa prévention
https://www.cybermalveillance.gouv.fr/
Gendarmerie : service informatique
Cadre normatif et réglementaire (SOX, COSO...)
COSO est un référentiel de contrôle interne visant à limiter les tentatives de fraudes dans les rapports financiers des entreprises (loi SOX)
RGPD