0. INTRODUCTION GENERALE

Aujourd'hui, la sécurité informatique constitue un enjeu majeur pour les entreprises ainsi que pour l'ensemble des acteurs qui l'entourent. Elle n'est plus confinée uniquement au rôle de l'informaticien. Sa finalité à long terme est de maintenir la confiance des utilisateurs et des clients. La finalité à moyen terme est la cohérence de l'ensemble du système d'informations. A court terme, l'objectif est que chacun ait accès aux informations dont il a besoin de façon sûre.

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs desdites ressources possèdent uniquement les droits qui leur ont été octroyés.

Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des utilisateurs, les consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le réseau s'étend. Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'informations en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité et nous avons pensé au protocole client-serveur appelé Radius (Remote Authentification Dial-In User Service) afin de faire la liaison entre des besoins d'identification et une base d'utilisateur en assurant le transport des données d'authentification de façon normalisée.

1. PROBLEMATIQUE

La pérennité de toute entreprise passe, entre autres, par une disponibilité permanente de son système d'information. L'information nécessaire au bon fonctionnement de l'entreprise englobe aussi bien les données stratégiques que les données de tous les jours. Le système d'information doit donc être vu comme un ensemble, qui inclut aussi bien l'information elle-même que les systèmes et réseaux nécessaires à sa mise en oeuvre.

La continuité de l'activité de l'entreprise appelle celle de son système d'information. Cette continuité ne peut être assurée que par la mise en place de moyens de protection apportant un niveau de sécurité adapté aux enjeux spécifiques de l'entreprise. Ces derniers peuvent varier d'une entreprise à une autre, mais la mise en place de la protection des systèmes d'information répond à des critères communs.

Une information sans système d'informations qui pourra la mettre en oeuvre est vaine, et un système d'informations coupé de ses utilisateurs est sans objet. La sécurité de données est donc devenue l'un des éléments clés de la continuité des systèmes d'informations de l'entreprise, quelles que soient ses activités, sa taille ou ses répartitions géographiques.

Plusieurs approches peuvent être adoptées pour sécuriser les systèmes d'informations. Selon leur culture et leur tempérament, certains responsables de la sécurité des systèmes d'informations (RSSI) privilégient le management pour descendre progressivement vers la technique.

2

À l'inverse, d'autres préfèrent lancer des actions techniques produisant directement des résultats palpables, avant de remonter progressivement vers le management. Quelle que soit l'approche, les questions liées à la sécurité opérationnelle se posent de la manière suivante :

Quels processus mettre en place pour sécuriser au mieux l'accès aux infrastructures réseaux de l'Hôpital Saint Joseph?

Comment s'assurer que les utilisateurs qui seraient connectés dans le système d'informations de l'Hôpital Saint Joseph sont ceux-là qui devraient y accéder ?