La gestion des risques est l’une des préoccupations majeures des DSI. C’est en fait l’un des cinq piliers de la gouvernance des systèmes d’information définis par l’ISACA (Information Systems Audit and Control Association). En matière de bonnes pratiques et d’une façon générale, la famille des référentiels ISO27000 traite des différents aspects de la sécurité de l’information au sein d’une organisation. En particulier, le référentiel ISO 27001 définit les exigences de mise en place d’un système de management de la sécurité de l’information (SMSI) adapté aux besoins de l’organisation en termes de sécurité de l’information. Dans la même famille de référentiels, le référentiel ISO 27002 (anciennement 17799) se veut être un ensemble de mesures de sécurité (bonnes pratiques) qui a défini trois caractéristiques fondamentales pour l’information : la disponibilité, l’intégrité et la confidentialité. Ces mesures de sécurité sont au nombre de 133 étalées sur les 11 chapitres dudit référentiel.
L’un des grands concepts de la sécurité de l’information est celui de l’authentification. En effet, il faut tout d’abord faire attention à ne pas confondre « authentification » et « autorisation » ; ces deux termes qui peuvent sembler vouloir dire la même chose alors que concrètement la différence entre eux n’est pas anodine. Si le premier signifie la vérification d’une identité en vue d’accéder à un système, le deuxième terme fait référence à une capacité d’agir sur une partie d’un système et une possession d’un droit qui confère à son propriétaire de procéder à une (des) opération(s) déterminée(s).
L’authentification vis-à-vis d’un système se fait à partir d’une ou plusieurs approches parmi les suivantes :
What you have : La reconnaissance de l’identité du demandeur de service se fait au moyen de quelque chose qu’il possède. L’exemple le plus courant est l’accès à une résidence ou aux locaux d’une entreprise par un badge personnel ou un badge visiteur.
What you know : Dans ce type d’authentification, l’utilisateur est reconnu par le système grâce à « un secret » qu’il connait. C’est le type le plus courant d’authentification, et l’exemple le plus classique est celui d’un mot de passe.
What you are : Ce type d’authentification est basé sur quelque chose qui appartient uniquement à l’utilisateur. Un contrôle d’accès par empreinte ou par reconnaissance vocale sont des exemples courants.
A un niveau de sécurité plus haut, il existe évidemment des modes d’authentification qui s’appuient sur plusieurs types parmi ceux cités plus haut comme, par exemple, une authentification bancaire ou une carte et un mot de passe sont requis est une combinaison des types 1 et 2 (What you have, What you know).
Blogueur IT. Grand intérêt pour les problématiques de gestion des SI.
