Rappelons que le système d’information (SI) se définit comme « un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l’information sur un environnement donné »(26).
Le fonctionnement des entreprises au quotidien repose aujourd’hui sur ce nouvel outil.
Les systèmes d’information et les données qu’ils contiennent constituent l’objet des risques qui nous préoccupent, tout comme un bâtiment constitue l’objet du risque incendie, par exemple, mais avec une distinction très importante : le système d’information n’a pas d’existence physique comme un bâtiment, il est virtuel. De même, les données qu’il contient, qui sont numérisées, ne sont pas des biens matériels. La donnée est définie dans sa conception informatique comme la « représentation d’une information en vue d’un traitement automatique »(27).
Les cyber-risques pèsent donc sur des biens immatériels, et c’est pourquoi il est difficile de les appréhender et de se les représenter.
Quels sont concrètement les risques, en terme opérationnel ? Ce que l’on craint, c’est un « usage inadéquat » des systèmes d’information. Selon le Larousse, l’adjectif « inadéquat » est « ce qui n’est pas adéquat », l’adjectif adéquat étant défini comme « ce qui correspond parfaitement à son objet ; approprié, adapté ». Pour déterminer quelles utilisations du système d’information peuvent être inadéquates, il faut savoir quel est son usage normal. Pour cela, il convient d’envisager les critères de sécurité du système d’information.
26 DE COURCY (R.), Les systèmes d’information en réadaptation, Québec, Réseau international CIDIH et facteurs environnementaux, 1992, no 5 vol. 1-2 P. 7-10
27 Dictionnaire en ligne (www.linternaute.com)
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance