Mesures de protection, sauvegarde et facteur humain

Identifier les outils et procédures de protection, sauvegarde et restauration, appliquer les procédures de sécurité et intégrer la dimension humaine du risque.

Introduction

Dans les leçons précédentes, nous avons déjà étudié :

  • le cadre réglementaire applicable aux données et aux outils numériques ;
  • les risques, menaces, vulnérabilités et les grands critères de sécurité d’un système d’information.

Cette leçon prolonge directement ces notions. Elle se concentre sur un point très concret : comment protéger effectivement le système d’information, comment appliquer les procédures de sécurité, comment vérifier leur fiabilité, et surtout pourquoi le facteur humain est central dans la gestion des risques.

Autrement dit, il ne suffit pas d’identifier les risques. Il faut ensuite mettre en place des mesures de protection, organiser des procédures de sauvegarde et de restauration, faire respecter des règles d’usage, et tenir compte du fait que la sécurité dépend autant des personnes que des outils.

Objectifs d’apprentissage

À l’issue de cette leçon, vous devez être capable de :

  • identifier les mesures de protection à mettre en place dans un système d’information ;
  • appliquer les procédures de sécurité dans un contexte professionnel ;
  • analyser la fiabilité des procédures et des traitements ;
  • intégrer la dimension humaine dans la gestion des risques ;
  • comprendre le rôle des outils et procédures de protection, de sauvegarde et de restauration dans la sécurisation du système d’information et des échanges.

1. La sécurisation du système d’information : une logique globale

Le programme place cette leçon dans la partie « La sécurité et la durabilité du système d’information » et dans le thème « Garantir la sécurisation du système d’information et des échanges ».

L’idée essentielle est la suivante : la sécurité d’un système d’information ne repose jamais sur une seule mesure. Elle résulte d’un ensemble cohérent de protections.

1.1 Pourquoi faut-il plusieurs niveaux de protection ?

Un système d’information est exposé à des risques variés :

  • perte de données ;
  • altération ou suppression d’informations ;
  • accès non autorisé ;
  • indisponibilité d’un service ;
  • erreur humaine ;
  • mauvaise manipulation ;
  • échange de données non fiable ;
  • défaut de sauvegarde ou impossibilité de restauration.

Une seule barrière ne suffit pas, car :

  • une protection peut être contournée ;
  • une erreur interne peut neutraliser une mesure technique ;
  • une panne matérielle peut survenir sans attaque extérieure ;
  • une procédure peut exister sur le papier sans être réellement appliquée.

La sécurité doit donc combiner :

  • des outils de protection ;
  • des procédures de sécurité ;
  • des contrôles de fiabilité ;
  • une implication des utilisateurs.

1.2 Une sécurité au service des échanges et des traitements

Le système d’information ne sert pas seulement à stocker des données. Il permet de :

  • saisir des informations ;
  • les traiter ;
  • les transmettre ;
  • les conserver ;
  • les restituer.

Protéger le système d’information, c’est donc protéger :

  • les données ;
  • les traitements ;
  • les échanges ;
  • la continuité d’activité.

Par exemple, une entreprise peut disposer d’un excellent outil de gestion comptable. Si les sauvegardes sont absentes ou inutilisables, la perte du serveur peut bloquer toute l’activité. De même, si les utilisateurs partagent leurs identifiants, la traçabilité devient illusoire.


2. Identifier les mesures de protection à mettre en place

L’un des attendus explicites du programme est de « identifier les mesures de protection à mettre en place ».

Il s’agit ici de savoir repérer les protections nécessaires, sans entrer dans une technicité excessive. Le référentiel précise d’ailleurs qu’il faut se limiter à la compréhension des principes fondamentaux et à l’aspect fonctionnel des outils.

2.1 Les grandes catégories de mesures de protection

On peut distinguer quatre grandes familles :

  1. Mesures préventives : empêcher l’incident.
  2. Mesures de détection : repérer rapidement l’incident.
  3. Mesures correctives : limiter les conséquences.
  4. Mesures de reprise : restaurer le fonctionnement normal.

Cette classification est utile car elle montre qu’une bonne sécurité ne consiste pas seulement à « empêcher », mais aussi à détecter, corriger et restaurer.

2.2 Les outils de protection

Le programme mentionne les outils et procédures de protection, de sauvegarde et de restauration de données.

Sans détailler leur fonctionnement technique, il faut comprendre leur rôle.

a) Les outils de contrôle d’accès

Ils permettent de limiter l’accès aux ressources aux seules personnes autorisées.

Exemples :

  • identifiant personnel ;
  • mot de passe ;
  • authentification renforcée ;
  • gestion des droits d’accès selon les fonctions.

Pourquoi ? Parce que tout utilisateur ne doit pas pouvoir tout voir ni tout modifier. Un stagiaire, un comptable, un responsable paie et un administrateur n’ont pas les mêmes besoins ni les mêmes responsabilités.

Comment ? En attribuant des droits adaptés au poste occupé et en supprimant les accès devenus inutiles.

b) Les outils de protection contre les logiciels malveillants

Ils visent à empêcher ou limiter l’introduction de programmes nuisibles.

Exemples :

  • antivirus ;
  • dispositifs de filtrage ;
  • surveillance des postes et serveurs.

Pourquoi ? Parce qu’un logiciel malveillant peut chiffrer, détruire, espionner ou détourner des données.

c) Les outils de sauvegarde

Ils permettent de conserver une copie exploitable des données.

Exemples :

  • sauvegarde quotidienne automatisée ;
  • duplication sur support distinct ;
  • conservation de plusieurs versions ;
  • sauvegarde externalisée.

Pourquoi ? Parce qu’une donnée non sauvegardée est une donnée potentiellement perdue.

d) Les outils de restauration

Ils permettent de remettre en service les données ou systèmes après incident.

Pourquoi ? Une sauvegarde n’a de valeur que si elle peut être restaurée correctement. Beaucoup d’organisations pensent être protégées parce qu’elles sauvegardent, alors qu’elles n’ont jamais vérifié la restauration.

2.3 Les mesures d’organisation

La sécurité n’est pas seulement technique.

Parmi les mesures d’organisation importantes :

  • formalisation des procédures ;
  • répartition des responsabilités ;
  • séparation de certaines tâches ;
  • validation des opérations sensibles ;
  • traçabilité des actions ;
  • planification des sauvegardes ;
  • conservation sécurisée des supports.

Exemple : Dans une PME, la même personne ne devrait pas, sans contrôle, créer un fournisseur, saisir une facture et valider le paiement. Ce n’est pas seulement une question de fraude : c’est aussi une question de fiabilité des traitements.

2.4 Les mesures liées aux échanges de données

Le thème porte aussi sur la sécurisation des échanges.

Quand des données circulent entre acteurs, services ou outils, il faut s’assurer :

  • que l’émetteur est bien identifié ;
  • que les données n’ont pas été modifiées ;
  • que le destinataire est légitime ;
  • que l’échange est traçable.

Cela suppose :

  • des canaux d’échange sécurisés ;
  • des procédures de vérification ;
  • une attention particulière aux pièces sensibles.

Exemple concret : Un courriel demandant un changement de RIB fournisseur doit faire l’objet d’une vérification complémentaire. Sinon, une simple usurpation peut conduire à un virement frauduleux.


3. Les sauvegardes et la restauration : cœur de la continuité du SI

La sauvegarde et la restauration sont explicitement visées par le programme. Elles constituent des mesures fondamentales.

3.1 Sauvegarder : ce n’est pas seulement copier

Une sauvegarde est une opération organisée de copie de données afin de pouvoir les retrouver en cas d’incident.

Elle doit répondre à plusieurs questions :

  • Quoi sauvegarder ?
    • données comptables ;
    • données clients ;
    • documents de gestion ;
    • paramétrages essentiels.
  • Quand sauvegarder ?
    • quotidiennement, hebdomadairement, selon la criticité.
  • Où sauvegarder ?
    • sur un support distinct ;
    • dans un lieu différent ;
    • éventuellement dans un environnement externalisé.
  • Combien de temps conserver ?
    • selon les besoins opérationnels et les obligations applicables.

3.2 Pourquoi la sauvegarde est-elle indispensable ?

Parce qu’elle protège contre :

  • la panne matérielle ;
  • l’erreur de manipulation ;
  • la suppression accidentelle ;
  • la corruption de fichiers ;
  • certains incidents de sécurité.

Sans sauvegarde, un incident peut devenir une crise majeure.

3.3 La restauration : l’étape souvent oubliée

La restauration consiste à remettre à disposition les données sauvegardées.

Une procédure de restauration fiable doit permettre de répondre à des questions concrètes :

  • qui déclenche la restauration ?
  • dans quel ordre restaure-t-on les données ?
  • comment vérifie-t-on que les données restaurées sont complètes ?
  • comment remet-on les utilisateurs en activité ?

3.4 Bonnes pratiques de sauvegarde et restauration

Sans sortir du cadre du programme, on peut retenir les principes suivants :

  • sauvegarder régulièrement ;
  • automatiser autant que possible ;
  • conserver des copies sur des supports distincts ;
  • protéger l’accès aux sauvegardes ;
  • tester périodiquement la restauration ;
  • documenter la procédure.

3.5 Exemple professionnel

Une société de services utilise un progiciel de gestion et un espace documentaire partagé.

Mesures retenues :

  • sauvegarde quotidienne des bases de données ;
  • conservation de plusieurs versions ;
  • copie externalisée ;
  • procédure écrite de restauration ;
  • test trimestriel de restauration sur un environnement de contrôle.

Pourquoi cette organisation est pertinente ? Parce qu’elle ne se limite pas à créer des copies : elle s’assure que la reprise est réellement possible.


4. Appliquer les procédures de sécurité

Le programme exige aussi de « appliquer les procédures de sécurité ». Il ne s’agit donc pas seulement de connaître des principes, mais de comprendre comment ils se traduisent en pratique.

4.1 Qu’est-ce qu’une procédure de sécurité ?

Une procédure de sécurité est une suite formalisée d’actions à respecter pour prévenir, détecter ou traiter un risque.

Elle précise généralement :

  • l’objectif ;
  • les personnes concernées ;
  • les étapes à suivre ;
  • les contrôles à réaliser ;
  • la traçabilité attendue.

4.2 Exemples de procédures de sécurité courantes

Sans inventer de dispositifs trop spécialisés, on peut citer des procédures professionnelles simples et fréquentes :

  • procédure de création et suppression de comptes utilisateurs ;
  • procédure de sauvegarde quotidienne ;
  • procédure de restauration après incident ;
  • procédure de changement de mot de passe ;
  • procédure de validation d’un échange sensible ;
  • procédure de signalement d’un incident.

4.3 Comment appliquer correctement une procédure ?

Appliquer une procédure suppose plusieurs conditions.

a) Connaître la règle

Une procédure non diffusée ou incomprise ne peut pas être appliquée correctement.

b) Savoir à quel moment l’utiliser

Certaines procédures sont périodiques, d’autres sont déclenchées par un événement.

Exemples :

  • sauvegarde : procédure planifiée ;
  • incident de sécurité : procédure déclenchée ;
  • départ d’un salarié : procédure de retrait des accès.

c) Respecter les étapes sans improviser

En sécurité, l’improvisation est risquée. Une mauvaise manipulation peut aggraver l’incident.

d) Assurer une traçabilité

Il faut pouvoir prouver qu’une opération a été réalisée :

  • date ;
  • responsable ;
  • résultat ;
  • anomalie éventuelle.

4.4 Étude de cas simple

Situation : un collaborateur quitte l’entreprise.

Procédure de sécurité attendue :

  1. identifier les comptes et accès du collaborateur ;
  2. désactiver les accès au moment du départ ;
  3. récupérer les équipements si nécessaire ;
  4. vérifier qu’aucun accès résiduel ne subsiste ;
  5. tracer l’opération.

Pourquoi ? Parce qu’un ancien salarié conservant un accès représente un risque évident pour la confidentialité, l’intégrité et la traçabilité.

4.5 Incident et réaction organisée

Situation : un utilisateur signale qu’un fichier critique a disparu.

Réaction structurée :

  1. vérifier s’il s’agit d’une suppression, d’un déplacement ou d’un problème d’accès ;
  2. consulter la traçabilité disponible ;
  3. appliquer la procédure de restauration si nécessaire ;
  4. contrôler la cohérence des données restaurées ;
  5. documenter l’incident.

Cette démarche montre que la sécurité n’est pas uniquement préventive : elle inclut la capacité à réagir correctement.


5. Analyser la fiabilité des procédures et des traitements

Le référentiel attend que l’étudiant sache « analyser la fiabilité des procédures et des traitements ».

C’est une compétence importante : une procédure peut exister sans être fiable, et un traitement peut fonctionner sans être suffisamment sécurisé.

5.1 Qu’est-ce qu’une procédure fiable ?

Une procédure est fiable lorsqu’elle est :

  • claire : les étapes sont compréhensibles ;
  • réaliste : elle peut être appliquée dans les conditions réelles ;
  • contrôlable : on peut vérifier son exécution ;
  • traçable : on garde une preuve de son déroulement ;
  • adaptée au risque : elle protège réellement contre le problème visé.

5.2 Indices d’une procédure peu fiable

On peut repérer plusieurs signaux d’alerte :

  • procédure non écrite ;
  • procédure connue d’une seule personne ;
  • absence de contrôle ;
  • absence de journalisation ou de preuve ;
  • procédure trop complexe pour être respectée ;
  • procédure jamais testée ;
  • décalage entre la règle officielle et la pratique réelle.

5.3 Fiabilité des traitements

Un traitement est une opération réalisée sur les données : calcul, transfert, validation, mise à jour, édition, archivage, etc.

Analyser sa fiabilité consiste à vérifier notamment :

  • que les données d’entrée sont correctes ;
  • que les règles appliquées sont cohérentes ;
  • que les résultats produits sont plausibles ;
  • que les anomalies sont détectées ;
  • que les modifications sont traçables.

5.4 Questions à se poser pour analyser la fiabilité

Pour une procédure ou un traitement, on peut se poser les questions suivantes :

  • Qui fait quoi ?
  • À quel moment ?
  • Avec quel contrôle ?
  • Avec quelle preuve ?
  • Que se passe-t-il en cas d’erreur ?
  • Peut-on restaurer la situation ?
  • Les utilisateurs appliquent-ils réellement la procédure ?

5.5 Exemple d’analyse

Procédure étudiée : sauvegarde quotidienne automatique.

Analyse de fiabilité :

  • point fort : automatisation limite l’oubli ;
  • point faible : personne ne vérifie les journaux d’exécution ;
  • point faible : aucun test de restauration récent ;
  • conséquence : la procédure semble exister, mais sa fiabilité réelle est incertaine.

Conclusion : La fiabilité ne dépend pas seulement de l’existence de la sauvegarde, mais aussi du contrôle de sa bonne exécution et de la possibilité réelle de restauration.


6. Le facteur humain dans la gestion des risques

Le programme insiste explicitement sur le rôle du facteur humain dans la sécurité du système d’information et sur la nécessité de prendre en compte la dimension humaine dans la gestion des risques.

C’est un point majeur.

6.1 Pourquoi le facteur humain est-il central ?

Parce que la plupart des incidents impliquent, directement ou indirectement, une intervention humaine :

  • erreur de saisie ;
  • oubli de sauvegarde ;
  • partage d’identifiants ;
  • ouverture d’un message frauduleux ;
  • non-respect d’une procédure ;
  • mauvaise configuration ;
  • négligence ;
  • excès de confiance.

Même un outil performant devient inefficace si les comportements ne sont pas adaptés.

6.2 Le facteur humain n’est pas seulement une faiblesse

Il ne faut pas réduire l’humain à une source d’erreur. Le facteur humain est aussi une ressource de sécurité.

Les personnes peuvent :

  • détecter une anomalie ;
  • signaler un incident ;
  • appliquer une procédure ;
  • bloquer une action suspecte ;
  • améliorer les pratiques.

La sécurité efficace repose donc sur des utilisateurs sensibilisés, responsabilisés et accompagnés.

6.3 Les principales causes humaines de vulnérabilité

a) Le manque de sensibilisation

Un utilisateur non formé ne perçoit pas toujours le danger.

Exemple : cliquer sur un lien douteux parce que le message semble urgent.

b) Les habitudes de facilité

Exemples :

  • mot de passe trop simple ;
  • mot de passe partagé ;
  • stockage de données sensibles dans un espace inadapté ;
  • contournement d’une procédure jugée trop lourde.

c) La surcharge ou la précipitation

Plus la pression est forte, plus le risque d’erreur augmente.

d) L’excès de confiance

Un utilisateur expérimenté peut penser qu’il « sait faire » et négliger certaines vérifications.

6.4 Intégrer la dimension humaine dans la gestion des risques

Prendre en compte la dimension humaine signifie que la sécurité doit être pensée avec les utilisateurs, et non contre eux.

Cela suppose :

  • des procédures compréhensibles ;
  • une répartition claire des responsabilités ;
  • une sensibilisation régulière ;
  • des rappels de bonnes pratiques ;
  • des contrôles proportionnés ;
  • un climat permettant de signaler les erreurs sans les dissimuler.

6.5 Exemple : procédure mal conçue

Imaginons une procédure de changement de mot de passe très complexe, mal expliquée, avec des étapes nombreuses.

Conséquence probable : les utilisateurs vont noter leurs mots de passe sur papier ou les réutiliser de manière prévisible.

Leçon : une procédure techniquement exigeante peut devenir contre-productive si elle ne tient pas compte des comportements réels.

6.6 La sécurité comme culture organisationnelle

La sécurité est plus efficace lorsqu’elle devient une habitude collective.

Cela passe par :

  • l’exemplarité de la direction ;
  • la cohérence des consignes ;
  • la répétition des messages ;
  • l’intégration de la sécurité dans les pratiques quotidiennes.

Exemple : si les responsables eux-mêmes contournent les règles, les autres utilisateurs feront de même. La crédibilité de la sécurité dépend donc aussi du management.


7. Méthode pratique d’analyse d’une situation de sécurité

Pour traiter une situation professionnelle, vous pouvez suivre une méthode simple.

Étape 1 : identifier le risque principal

Exemples :

  • perte de données ;
  • accès non autorisé ;
  • erreur de traitement ;
  • échange de données non fiable.

Étape 2 : repérer les mesures existantes

  • contrôle d’accès ;
  • sauvegarde ;
  • procédure écrite ;
  • validation ;
  • traçabilité.

Étape 3 : vérifier si ces mesures sont réellement appliquées

  • sont-elles connues ?
  • sont-elles respectées ?
  • sont-elles contrôlées ?

Étape 4 : apprécier la fiabilité

  • la procédure est-elle claire ?
  • la sauvegarde est-elle testée ?
  • la restauration est-elle possible ?
  • les traitements sont-ils vérifiables ?

Étape 5 : intégrer le facteur humain

  • les utilisateurs sont-ils formés ?
  • les responsabilités sont-elles claires ?
  • les comportements réels sont-ils compatibles avec la procédure ?

Étape 6 : conclure

La conclusion doit indiquer :

  • les points forts du dispositif ;
  • les faiblesses ;
  • les améliorations prioritaires.

8. Cas pratique synthétique

Situation

Une entreprise de 25 salariés utilise un progiciel de gestion commerciale et comptable. Les données sont stockées sur un serveur interne. Une sauvegarde est lancée chaque soir. Les mots de passe sont personnels, mais plusieurs salariés se les communiquent pour « gagner du temps ». Aucun test de restauration n’a été réalisé depuis un an. Lorsqu’un incident survient, les utilisateurs préviennent oralement le responsable informatique, sans procédure formalisée.

Analyse

1. Mesures de protection en place

  • mots de passe personnels ;
  • sauvegarde quotidienne.

2. Faiblesses du dispositif

  • partage des identifiants ;
  • absence de test récent de restauration ;
  • absence de procédure formalisée de signalement d’incident ;
  • traçabilité affaiblie.

3. Fiabilité des procédures

La sauvegarde existe, mais sa fiabilité est partielle car la restauration n’est pas testée. La procédure de gestion d’incident est faible car elle repose sur l’oral.

4. Dimension humaine

Le principal risque vient ici des comportements : les utilisateurs privilégient la rapidité à la sécurité. Cela montre un manque de sensibilisation et peut-être des procédures inadaptées à la réalité du travail.

5. Mesures à renforcer

  • rappeler l’interdiction du partage d’identifiants ;
  • formaliser la remontée d’incident ;
  • tester périodiquement la restauration ;
  • renforcer la sensibilisation des utilisateurs.

Conclusion

Cette entreprise dispose de premières protections, mais la sécurisation du système d’information reste fragile car les procédures sont insuffisamment contrôlées et le facteur humain est mal pris en compte.


9. Points à retenir

  • La sécurisation du système d’information repose sur un ensemble cohérent d’outils, de procédures et de comportements.
  • Il faut savoir identifier les mesures de protection : contrôle d’accès, protection contre les programmes malveillants, sauvegarde, restauration, traçabilité, organisation des responsabilités.
  • Une sauvegarde n’est utile que si la restauration est réellement possible.
  • Appliquer les procédures de sécurité suppose qu’elles soient connues, réalistes, tracées et contrôlées.
  • Analyser la fiabilité des procédures et des traitements consiste à vérifier leur clarté, leur application réelle, leur contrôlabilité et leur efficacité.
  • Le facteur humain est central : il peut être une source de vulnérabilité, mais aussi une ressource majeure de sécurité.
  • Une bonne gestion des risques intègre toujours la dimension humaine : sensibilisation, responsabilisation, simplicité des règles, culture de sécurité.

Mémo

Mesures de protection

  • contrôle des accès ;
  • outils de protection ;
  • sauvegardes ;
  • restauration ;
  • traçabilité ;
  • organisation des responsabilités.

Procédure fiable

Une procédure fiable est :

  • claire ;
  • applicable ;
  • contrôlable ;
  • tracée ;
  • adaptée au risque.

Sauvegarde et restauration

  • sauvegarder régulièrement ;
  • protéger les sauvegardes ;
  • conserver des copies distinctes ;
  • tester la restauration.

Facteur humain

Risques humains fréquents :

  • négligence ;
  • précipitation ;
  • manque de formation ;
  • contournement des règles ;
  • partage d’identifiants.

Réponses adaptées :

  • sensibilisation ;
  • procédures simples ;
  • contrôles ;
  • responsabilités claires ;
  • culture de sécurité.

Vérification de couverture des notions imposées

Cette leçon a couvert l’ensemble des fragments imposés :

  • La sécurité et la durabilité du système d’information ;
  • Appréhender les défis du système d’information en termes de règlementation (dans le prolongement de la conformité déjà étudiée, ici appliquée à la sécurisation) ;
  • Garantir la sécurisation du système d’information et des échanges ;
  • Identifier les mesures de protection à mettre en place ;
  • Appliquer les procédures de sécurité ;
  • Analyser la fiabilité des procédures et des traitements ;
  • Prendre en compte la dimension humaine dans la gestion des risques.

Cette leçon reste volontairement centrée sur ces éléments, conformément au périmètre du programme.