III - La politique d'IBM en matière de
sécurité informatique
Pour être efficace, la politique de
sécurité informatique de l'entreprise se décide à
partir de fondements théoriques qui vont déterminer l'application
de règles dans toute l'entreprise. Dans le cas d'IBM, ces bases sont
déterminées au siège de la multinationale, puis
adaptées en fonction des nécessités pratiques.
On peut diviser le dispositif mis en place en trois volets qui
se complètent : La prévention, pour éviter les
dommages (A), la défense proprement dite (B) et le contrôle des
moyens mis en place (C).
A - La prévention
La prévention s'exprime d'une part par une politique de
cloisonnement des informations, et d'autre part par des règles de
comportement des utilisateurs du système informatique.
1°/ Le cloisonnement de l'information
De nombreuses organisations, dont les entreprises et
particulièrement les plus grandes d'entre elles appliquent une politique
de cloisonnement de l'information. Ce système entraîne une
difficulté accrue d'accès aux informations importantes car une
intrusion dans un compte donné ne peut donner accès qu'aux
informations nécessaires au travail du possesseur de ce compte et donc
limite l'étendue des dégâts. En effet, IBM applique la
règle du « need to know » : chaque
employé n'a à sa disposition que les informations utiles pour son
travail.
De plus, les informations sont classifiées selon leur
confidentialité, les informations « normales »
n'étant pas pour autant publiques. Les informations classées
« confidentielles » (par leur auteur) obéissent
à des règles strictes garantissant leur non-circulation à
l'extérieur de l'entreprise et une circulation limitée à
l'intérieur d'IBM.
Ce principe est à la base de règles de
comportement des employés d'IBM vis à vis de l'information et des
systèmes informatiques.
2°/ Des règles comportementales
Dans le but de garantir la sécurité des
informations, IBM édicte des règles régissant le
comportement de ses employés.
Par exemple, chaque employé a son compte d'accès
rigoureusement personnel au système informatique. De plus, il doit
protéger son matériel par au moins un mot de passe s'il quitte
son bureau. Le mot de passe lui-même doit être choisi en fonction
de règles visant à limiter le hacking par des techniques dites de
force brute (un programme qui essaye tous les mots d'un dictionnaire et
d'autres combinaisons). C'est pourquoi, notamment, il doit contenir au moins un
caractère numérique et un caractère alphabétique,
tout en comprenant au moins six caractères sans comprendre deux
caractères identiques consécutifs, et doit être
changé tous les six mois.
Dans le même ordre d'idée, on peut aussi citer la
règle du « bureau vide » selon laquelle un
employé doit laisser son bureau vide de tout document lorsqu'il quitte
son lieu de travail, de manière à limiter les risques
d'espionnage. Aussi, les possesseurs d'ordinateurs portables sont tenus
d'interdire l'accès à leur machine à toute personne qui ne
travaille pas chez IBM, au moyen de plusieurs mots de passe (au lancement de la
machine ainsi que sur l'écran de veille).
Tous ces moyens de préventions sont bien
évidemment essentiels à la protection du système
informatique, d'autant plus qu'ils tiennent une place importante dans le
dispositif de protection. Mais des moyens de défense plus techniques
sont tout de même nécessaire.
| 
