Les menaces telles que des virus, pannes, attaques et autres failles de sécurité informatique, vous exposent à des risques comme la perte d’information, d’image, de productivité, d’avantage concurrentiel.

La sécurité peut s'évaluer suivant plusieurs critères :

• Disponibilité : garantie que ces éléments considérés sont accessibles au moment voulu par les personnes autorisées.
• Intégrité : garantie que les éléments considérés sont exacts et complets.
• Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments considérés.
• Traçabilité : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.

Les principales menaces effectives auxquelles un système d’information peut être confronté sont :

• Un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur, généralement insouciant ;
• Une personne malveillante : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes auxquels elle n'est pas censée avoir accès en utilisant par exemple des failles connues et non corrigées dans les logiciels ;
• Un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ; des données personnelles peuvent être collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ou commerciales ;
• Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.

Conception globale

La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.

Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :

• la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (les anglophones utilisent le terme awareness) ;
• la sécurité de l'information ;
• la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers réparti ;
• la sécurité des réseaux ;
• la sécurité des systèmes d'exploitation ;
• la sécurité des télécommunications ;
• la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée ;
• la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »).

Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).