Souvent vue comme une contrainte, une architecture sécurisée permet d'empêcher une grande partie des attaques et de réduire leur impact. Elle diminue de fait les temps d'arrêt de services, et le temps de nettoyage d'une attaque réussie, et fait donc gagner beaucoup d'argent et de temps à l'entreprise. (disons que cela permet d'éviter d'en perdre inutilement)
Vu la criticité actuelle d'un système d'information, aussi bien pour une PME qu'une grande entreprise, imaginez l'impact d'une attaque réussie qui permet de détruire toutes les données...

Tous les organes d'un système d'information sont des cibles potentielles, écoute sur le réseau à la recherche de mots de passe en clair, failles applicatives et systèmes qui permettent une escalade de privilèges (ex: faille dans un site web + sur le serveur, qui permet à l'attaquant d'obtenir un contrôle total sur le site web, puis sur les autres sites web hébergés sur la machine, puis sur le serveur, et éventuellement sur d'autres serveurs...).

aspect humain

La sécurité étant un vaste sujet, pour aller à l'essentiel, il faut bien comprendre que la vue technique n'est pas suffisante, et qu'il faut toujours inclure le facteur humain.

En effet, moyennant de hautes compétences techniques, il est possible d'arriver à un niveau de sécurité excellent des serveurs, de l'infrastructure réseau, etc..

Mais le vrai niveau de sécurité se mesure en se basant sur la sécurité la plus basse de chaque composant, celui-ci étant souvent humain. En clair, si le serveur de base de données est blindé informatiquement, mais accessible physiquement par le premier venu, les moyens déployés pour sécuriser le serveur se retrouvent inutiles. Si le mot de passe de la secrétaire est facile à deviner (nom des enfants, mots dans un dictionnaire, etc..) on peut le considérer inutile. Si l'administrateur sécurité force des mots de passe sûrs mais trop complexes, il est fort à parier que notre même secrétaire l'écrira dans un coin, voire sur son clavier, ce qui le rend tout aussi inutile.

Un juste milieu de complexité du point de vue de l'utilisateur est donc à trouver, pour assurer le meilleur niveau de sécurité. Sans oublier une formation récurrente avec des exemples concrets pour sensibiliser les utilisateurs à la sécurité.

open source / close source

http://fr.wikipedia.org/wiki/Logiciel_libre

La sécurité relative des logiciels libres et propriétaires est sujette à débat.

• Le libre accès au code source permet l'examen du logiciel par des experts indépendants.
• Le libre accès au code source rend impossible le recours à la sécurité par l'obscurité, ce qui est considéré comme un avantage ou un défaut, selon le point de vue.
• La découverte de failles de sécurité est facilitée par la publication du code source. En effet, l'ouverture du code permet statistiquement à un plus grand nombre de personnes d'avoir la possibilité de repérer et de corriger des vulnérabilités.