Risques en sécurité informatique

Il importe de mesurer ces risques, non seulement en fonction de la probabilité ou de la fréquence de leurs survenances, mais aussi en mesurant leurs effets possibles. Ces effets, selon les circonstances et le moment où ils se manifestent, peuvent avoir des conséquences négligeables ou catastrophiques. Parfois, le traitement informatique en cours échoue, il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ; parfois l'incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. Mais ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses :

- données irrémédiablement perdues ou altérées, ce qui les rend inexploitables.
- données ou traitements durablement indisponibles, pouvant entraîner l'arrêt d'une production ou d'un service.
- divulgation d'informations confidentielles ou erronées pouvant profiter à des sociétés concurrentes ou nuire à l'image de l'entreprise.
- déclenchement d'actions pouvant provoquer des accidents physiques ou induire des drames humains.

A l'ère de la généralisation des traitements et des échanges en masse, on imagine assez bien l'impact que pourraient avoir des événements majeurs comme, par exemple, une panne électrique de grande ampleur ou la saturation du réseau Internet pendant plusieurs heures.

Hormis ces cas exceptionnels, beaucoup de risques peuvent être anticipés et il existe des parades pour la plupart d'entre eux. On peut citer en exemple les précautions prises peu avant l'an 2000 qui, même si la réalité du risque a parfois été et reste aujourd'hui controversée, ont peut-être évité de graves désagréments.

Chaque organisation, mais aussi chaque utilisateur, a tout intérêt à évaluer, même grossièrement, les risques qu'il court et les protections raisonnables qu'elle ou il peut mettre en œuvre. Dans le monde professionnel, les risques et les moyens de prévention sont essentiellement évalués en raison de leurs coûts. Il est par exemple évident qu'une panne qui aurait pour conséquence l'arrêt de la production d'une usine pendant une journée mérite qu'on consacre pour la prévenir une somme égale à une fraction de la valeur de sa production quotidienne ; cette fraction sera d'autant plus importante que la probabilité et la fréquence d'une telle panne sont élevées.