ler tous les contrôles de sécurité. De plus, il peut même être préférable de consolider plusieurs cont

nteragissent. Ainsi, chaque composant effectue lui-même toutes les validations nécessaires pour garantir la sécurité. En pratique, ce modèle n'est appliqué que partiellement puisqu'il est habituellement impraticable de dédoubler tous les contrôles de sécurité. De plus, il peut même être préférable de consolider plusieurs contrôles de sécurité dans un composant réservé à cette fin. Ce composant doit alors être considéré comme étant sûr par l'ensemble du système.
Politique de sécurité[modifier | modifier le code]
Article détaillé : Politique de sécurité informatique.
La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés.
La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :
élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation (autour de l'informatique) ;
définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations ;
préciser les rôles et responsabilités.
La politique de sécurité est donc l'ensemble des orientations suivies par une entité en matière de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.
Responsable de la sécurité du système d'information[modifier | modifier le code]
Article détaillé : Responsable de la sécurité du système d'information.
Cela étant, en France, ce sont principalement les grandes sociétés, entreprises du secteur public et administrations qui ont désigné et emploient, à plein temps ou non, des « responsables de la sécurité des systèmes d'information ». Les tâches de la fonction dépendent du volontarisme politique ; les cadres ou techniciens concernés ont en général une bonne expérience informatique alliée à des qualités de pédagogie, conviction, etc. Peu à peu, le management de la sécurité informatique s'organise en domaines ou sous-domaines des services informatiques ou d'état-major ; ils sont dotés de moyens financiers et humains et intègrent les contrats de plan ou de programmes de l'entreprise.
Ainsi, il ne revient pas