Qu'est-ce que la sécurité de l'information ?

Qu'est-ce que la sécurité de l'information

La sécurité de l’information est primordiale en entreprise. Pensez à tout le contenu que votre entreprise produit et utilise dans le cadre de ses activités. Qu'il s'agisse de feuilles de calcul pour suivre votre budget, de contrats pour vos employés, de sessions de brainstorming sur les produits ou des profils de vos clients, votre entreprise a besoin de nombreuses informations au quotidien. Maintenant, réfléchissez à ce qui se passerait si une partie de ce contenu tombait entre de mauvaises mains. Vos concurrents pourraient prendre un avantage sur vous, des pirates pourraient accéder aux données privées de vos clients, voire aux informations financières de votre entreprise, et les compromettre.

Sécurité de l'information: Ensemble de méthodes et de processus qui protègent les informations de votre entreprise.

Définition de la sécurité de l'information

La sécurité de l'information est un ensemble de méthodes et de processus qui protègent les informations de votre entreprise contre l'utilisation, l'accès, la modification, la perturbation ou la destruction non autorisés. Les données ou le contenu qui doivent être protégés peuvent être des informations numériques, comme les données stockées dans le cloud, ou physiques, comme des fichiers imprimés et des contrats.

La sécurité de l'information implique avant tout la protection des données contre une utilisation ou un accès non autorisé, et la garantie que les informations restent en conformité avec les réglementations en vigueur, telles que le règlement général sur la protection des données (RGPD) applicable dans toute l'Union européenne. Le RGPD est l'une des réglementations les plus strictes en matière de sécurité de l'information et de confidentialité au monde. Il est destiné à protéger les citoyens de l'UE, mais toute entreprise mondiale doit se conformer à ses dispositions dès lors qu'elle collecte des données appartenant à des citoyens de l'UE.

Différences entre la sécurité de l'information, la cybersécurité et la sécurité informatique

Certains évoquent sans véritable distinction les termes de sécurité de l'information et de cybersécurité. Cependant, ces deux termes, bien que proches, présentent certaines différences. La sécurité de l'information est en fait une composante de la cybersécurité, qui pour sa part, fait référence à un processus ou à une méthode plus large de protection contre les attaques extérieures des ressources informatiques, au-delà des seules informations.

La cybersécurité, que l'on peut également rencontrer sous le terme sécurité informatique est ainsi un domaine bien plus large que la sécurité de l'information. Tout ce qui s'apparente à des mesures ou politiques de protection des programmes, des serveurs et des réseaux contre les accès non autorisés, les abus ou d'autres types de menaces relève de la cybersécurité. Elle se préoccupe ainsi tout autant des données et informations que des systèmes et du matériel de l'entreprise.

Catégories de cybersécurité: Sécurité des applications, Sécurité de l'information, Sécurité des réseaux, Sécurité opérationnelle, Reprise après sinistre

Il existe plusieurs catégories de cybersécurité :

  • Sécurité des applications : protège les appareils et les logiciels contre les menaces. Il peut s'agir, par exemple, de concevoir des logiciels avec des fonctionnalités de sécurité telles que le chiffrement ou de développer des correctifs permettant de remédier aux vulnérabilités à mesure qu'elles apparaissent.
  • Sécurité de l'information : protège les données, qu'elles soient stockées ou transmises.
  • Sécurité des réseaux : empêche les intrus, qu’il s’agisse de logiciels malveillants ou de pirates ciblant spécifiquement le réseau, d'accéder au réseau informatique d'une entreprise.
  • Sécurité opérationnelle : comprend l'attribution d'autorisations et de mots de passe aux utilisateurs afin de leur accorder un accès à certains types de contenu ou au réseau informatique lui-même.
  • Reprise après sinistre : composant de la cybersécurité qui précise les mesures à prendre en cas d'attaque, d'interruption de l'activité ou de perte de données.

Voici certaines menaces courantes contre lesquelles une cybersécurité efficace peut protéger une entreprise :

  • Escroqueries par hameçonnage : situation où un e-mail ou un message à première vue légitime incite les utilisateurs à révéler des informations personnelles.
  • Logiciels malveillants : virus, chevaux de Troie ou autres programmes informatiques qui endommagent un appareil ou accordent un accès non autorisé à des programmes informatiques ou à certaines données.
  • Rançongiciels : logiciels installés sur un appareil qui empêchent l’utilisateur d’accéder à des fichiers ou à des programmes jusqu’au paiement d’une rançon. Cependant, le paiement de la rançon n'aboutit pas systématiquement à la suppression du logiciel malveillant.

Quelles sont les trois propriétés essentielles de la sécurité de l'information ? Les critères DIC

Principes de sécurité de l'information: Disponibilité, intégrité et confidentialité

Il y a trois principes de base à la sécurité de l’information : la disponibilité, l'intégrité et la confidentialité. L'objectif d'une politique de sécurité de l'information est de satisfaire à au moins l'un de ces critères. Ensemble, ces principes forment la triade DIC.

1. Disponibilité

Le principe de disponibilité garantit que les utilisateurs autorisés et éligibles peuvent accéder à votre contenu. La disponibilité signifie que ceux ayant besoin de télécharger ou d'ouvrir un contenu peuvent le faire. L'accès au contenu autorisé doit également être rapide et immédiat. Cela évite aux utilisateurs autorisés de devoir attendre pour ouvrir un fichier ou d'avoir à suivre un processus long et fastidieux pour accéder au contenu dont ils ont besoin.

2. Intégrité

L'intégrité fait référence à l’état des données ou du contenu. Il est essentiel que les utilisateurs non autorisés ne puissent pas modifier le contenu que possède votre entreprise. Par exemple, un pirate informatique ne doit pas être en mesure de modifier la quantité ou la nature d'un ingrédient d'une recette que vous avez développée. Imaginez que la boisson sucrée que vous produisez pour vos clients soit ainsi transformée en un poison dangereux. Les pirates ne doivent pas non plus pouvoir modifier les contrats et augmenter ou réduire les salaires de vos employés.

Il est également essentiel que l'intégrité des données de votre entreprise soit protégée de vos collaborateurs qui pourraient ne pas avoir les meilleures intentions. Un employé jaloux ne doit pas être en mesure d'accéder au dossier personnel d'un collègue et de modifier ses heures passées sur un projet, ni d'ajouter des commentaires ou des mesures disciplinaires truquées à son dossier.

Les outils que vous utilisez pour garantir la confidentialité de votre contenu, tels que le chiffrement et la protection par mot de passe, contribuent également à garantir son intégrité. Il existe d'autres mesures que vous pouvez prendre pour rétablir et corriger une situation de piratage de vos informations. Si une personne arrive à obtenir un accès non autorisé à une recette ou à une feuille de calcul et en modifie certaines informations, vous pourriez restaurer les versions précédentes de votre contenu afin de réparer les dégâts et restaurer l'intégrité de vos données.

3. Confidentialité

L'une des premières choses qui peut venir à l'esprit lorsque l'on pense à protéger le contenu d'une entreprise est de savoir comment assurer la confidentialité de ses données et informations. Que vous gériez les contrats de vos employés ou des informations client, vous devez vous assurer que les données sont protégées contre les utilisateurs ou les consultations non autorisées. L'objectif de confidentialité de la triade DIC est de garantir que les données restent privées. Dans cette optique, seules les personnes dûment autorisées devraient pouvoir accéder aux fichiers qui les contiennent.

Outils disponibles pour préserver la confidentialité des données de l'entreprise: Protection par mot de passe, Chiffrement, Authentification à deux facteurs, Tests d’intrusion

Plusieurs outils sont disponibles pour assurer que les données restent confidentielles. Voici quelques méthodes et outils au service de la protection de la confidentialité des données :

  • Protection par mot de passe : des mots de passe forts et difficiles à deviner peuvent garantir que seules les personnes autorisées à consulter certains types de données y ont effectivement accès.
  • Chiffrement : le chiffrement protège les données envoyées d'un endroit à un autre. Il peut s'agir d'un envoi par e-mail ou via un lien menant à un lieu de stockage des données dans le cloud. Dans ce genre de cas, le message est crypté et prend la forme d'un flux de mots et de phrases qui semblent n'avoir aucun sens si l'utilisateur ne dispose pas de la clé permettant d'en révéler les détails.
  • Authentification à deux facteurs : l'authentification à deux facteurs (2FA) ajoute une autre couche d'identification et de vérification au processus de connexion, en demandant à un utilisateur de vérifier son identité grâce à une deuxième information complémentaire au nom d'utilisateur et au mot de passe habituels. Cette information peut par exemple être un code à quatre chiffres envoyé par SMS ou la réponse à une question secrète.
  • Tests d'intrusion : en imitant les tactiques que les pirates sont susceptibles d'utiliser lorsqu'ils tentent d'accéder à des données confidentielles, un test d'intrusion permet à une entreprise d'étudier les améliorations qu'elle peut apporter à la confidentialité de son contenu.

Les champs d'application de la sécurité de l'information en entreprise

Domaines d'action de la sécurité de l'information. Choisissez le bon type de sécurité de l'information pour protéger votre contenu contre les vulnérabilités ou l'accès non autorisé

Différents types de sécurité de l'information se concentrent sur d'autres domaines où les données et le contenu peuvent être exposés aux attaques ou à un accès non autorisé.

Sécurité des applications

La sécurité des applications vise à protéger les logiciels et le matériel informatique de l'entreprise. Cette sécurité vise souvent à empêcher le vol de code ou de données au sein de l'application, de la plate-forme logicielle ou du matériel. Un exemple de ce type de sécurité de l'information pourrait être un routeur qui masque l'adresse IP d'un ordinateur ou un logiciel qui nécessite une authentification et une autorisation de l'utilisateur avant toute action. Un autre exemple de sécurité applicative est la journalisation : ce processus permet de garder une trace des personnes ayant accédé à l'application, de savoir quel élément de contenu a été consulté ou modifié, et quand cela s'est produit.

Réponse aux incidents

Alors que certains types de sécurité de l'information se concentrent sur la prévention des violations, la réponse aux incidents se concentre sur la compréhension de ce qui s'est passé et l'élaboration d'un plan pour éviter les futurs incidents. Un élément important de la réponse aux incidents consiste à minimiser les dommages et à réduire les coûts pour l'organisation. Disposer d'un processus de réponse aux incidents peut également aider l'entreprise à découvrir qui était derrière l'attaque et à porter plainte ou à présenter des preuves aux autorités.

Cryptographie et chiffrement

Vous devez protéger les données de votre entreprise lorsqu'elles sont au repos et lorsqu'elles sont en transit, par exemple lorsqu'elles sont envoyées par e-mail à un autre utilisateur ou téléchargées sur un appareil. Le chiffrement protège l'intégrité et la confidentialité des données de votre contenu. Si un utilisateur non autorisé accède à un fichier chiffré et ne dispose pas de la bonne clé de déchiffrement, le contenu lui paraîtra dénué de sens. Un autre composant de la cryptographie consiste à utiliser une signature numérique qui vérifie la source du contenu et confirme que le contenu est véritablement ce qu'il est censé être.

Sécurité du cloud

De nombreuses organisations conservent leur contenu et leurs données dans le cloud, ce qui leur permet d'y accéder depuis n'importe quel appareil connecté à Internet. Le cloud a besoin de protection et de sécurité, tout comme les logiciels et le matériel, afin de garantir l'intégrité et la confidentialité du contenu qui y est stocké. Cela garantit également que les utilisateurs autorisés disposent d'un accès immédiat à leurs données.

Gestion des vulnérabilités

Cet autre type de sécurité de l'information gère et minimise les vulnérabilités potentielles. Des mises à jour logicielles susceptibles d'introduire une faiblesse ou des applications obsolètes peuvent constituer des vulnérabilités pour l'entreprise et peuvent potentiellement permettre des violations ou une intrusion dans les systèmes.

Établir une politique de sécurité de l'information

La politique de sécurité de l'information décrit le processus et les procédures que vous utiliserez pour assurer la sécurité de votre contenu

Comment mettre en place un processus de gestion de la sécurité de l’information et vous assurer que les trois principes de sécurité de l'information sont sous contrôle dans votre entreprise ? Une approche efficace pour garantir la sécurité de vos informations consiste à créer une politique qui décrit le processus et les procédures que vous utiliserez pour sécuriser votre contenu. Votre politique de sécurité de l'information doit être un document évolutif, mis à jour régulièrement à mesure que les réglementations changent, que la technologie évolue et que les menaces se développent. Certaines des fonctionnalités à inclure dans votre politique de sécurité comprennent :

Finalité et objectifs

Votre politique de sécurité de l'information doit décrire sa finalité. Pensez notamment à la protection de vos clients ou de la réputation de votre entreprise. Elle doit également définir des objectifs ou des buts, qui doivent être conformes aux principes de la triade DIC évoquée plus haut. Par exemple, les objectifs de votre politique peuvent être de préserver la confidentialité de vos données, de protéger leur intégrité et d'en garantir l'accès à tous les utilisateurs autorisés.

Identification du public concerné

Identifiez à qui la politique est destinée et assurez-vous de séparer efficacement les utilisateurs concernés et ceux qui en sont exclus. Le public concerné peut être tous les employés qui accèdent au contenu conservé dans le cloud de votre entreprise. Votre public exclu peut être des sous-traitants, des travailleurs indépendants ou des partenaires commerciaux qui n'ont pas accès à vos fichiers cloud, ou des employés qui travaillent dans un service appliquant sa propre politique de sécurité de l'information.

Politique d'utilisation acceptable

La politique d'utilisation acceptable décrit la manière dont vos employés peuvent utiliser votre contenu d'entreprise. Elle doit expliquer où et quand ils peuvent télécharger des fichiers et ce qu'ils doivent faire pour protéger la confidentialité de ces fichiers. La politique d'utilisation acceptable peut également comporter une politique de mot de passe qui explique comment créer des mots de passe forts ou le type de mots de passe que les employés doivent définir pour protéger le contenu.

Élaboration d'un plan de gestion des données

Votre politique doit inclure un plan pour la bonne prise en charge de vos données et opérations afin que toute personne ayant une autorisation puisse toujours y accéder en fonction de ses besoins. Un tel plan doit décrire comment les données sont transférées, quels types de protection sont en place pour sécuriser les données (le chiffrement par exemple), et quelles pratiques de sauvegarde ou de restauration des données sont déployées.

Classification des données

Votre entreprise dispose probablement de différents types de contenu. Vous avez par exemple aussi bien des documents disponibles au grand public sur votre site Web que des politiques et procédures secrètes qui ne doivent surtout pas être consultables par des tiers non autorisés. Un système de classification efficace de vos données est indispensable à votre politique de sécurité de l'information pour vous permettre de classer vos données et de déterminer qui peut y accéder et comment l'accès peut se faire.

Définition des rôles et responsabilités

La politique de sécurité doit préciser les responsabilités de chacun relatives à votre contenu. Vous devez notamment déterminer quels employés sont responsables de la réponse aux incidents et qui est responsable de garantir la protection et la confidentialité des données.

Les mesures de sécurité de l’information

Les mesures de sécurité de l'information sont les processus et procédures visant à garantir la sécurité de vos données

Les mesures de sécurité de l'information sont les processus et procédures visant à garantir la sécurité de vos données

  • Des mesures d'accès qui vous permettent de contrôler l'accès physique à vos données en restreignant les personnes qui peuvent entrer dans certaines zones de votre bâtiment, mais aussi l’accès à votre contenu stocké dans le cloud.
  • Des mesures procédurales qui définissent la formation offerte à vos employés pour leur permettre de connaître et d'appliquer les bonnes pratiques en matière de sécurité de l'information. Comme nous l'avons vu précédemment, il peut s'agir de créer des mots de passe forts ou de mettre en place un plan de réponse aux incidents.
  • Des mesures techniques qui consistent à mettre en place une politique de mots de passe, un chiffrement, des pare-feu et d'autres applications logicielles ou matérielles qui protègent votre contenu.
  • Des mesures de conformité qui sont souvent développées et imposées par des tiers externes à votre entreprise. C'est par exemple le cas des réglementations et des règles que vous devez suivre, telles que le RGPD ou la norme ISO 27001.

Les mesures que vous mettez en place protègent vos informations de trois manières. Les mesures préventives, conçues pour empêcher une violation de données, comprennent les mots de passe, le chiffrement et les barrières physiques pour protéger les contenus papier par exemple. Les mesures de détection, quant à elles, permettent de dévoiler une violation ou un piratage au moment même où il se passe afin d’en alerter les équipes pour agir rapidement. Enfin, vos mesures de sécurité peuvent également être correctives, ce qui signifie que vous les mettez en œuvre après la survenue d’une violation de données. Un rapport d’incident est un exemple d’action corrective, car il vous donne la possibilité de réfléchir à ce qui s’est passé et d’élaborer un plan pour éviter qu’il ne se reproduise.

Les certifications reconnues en sécurité de l’information

De nombreux rôles sont impliqués dans la sécurité de l’information. Le responsable de la sécurité des systèmes d’information (RSSI) est généralement chargé de superviser tous les aspects du programme de sécurité de l’information d’une entreprise. Le RSSI peut être une personne dédiée uniquement à ces fonctions ou peut avoir en charge tous les aspects de la sécurité informatique d’une entreprise (poste de directeur ou de vice-président de la sécurité).

Plusieurs programmes de certification existent pour former les personnes et les préparer à des postes de sécurité de l’information, mais vous pouvez également doter votre entreprise de normes et de certifications produits ou systèmes permettant de garantir votre engagement envers la sécurité de l'information.

Le programme de certification que vous exigez lors du recrutement de vos collaborateurs dépend des tâches que vous souhaitez confier à votre équipe de sécurité informatique et du type de fournisseurs avec lesquels vous travaillez.

Certifications en matière de sécurité de l’information: Programmes conçus pour former et préparer les personnes à des postes dans le domaine de la sécurité de l’information

Voici certaines des principales certifications disponibles.

CEH (Certified Ethical Hacker,Certification de piratage éthique)

Le programme de certification CEH est proposé par l’EC-Council, plus grand organisme de certification technique de cybersécurité au monde dont les titres de certification sont reconnus à l’international. Pour obtenir ce certificat, il faut suivre des programmes de formation dispensés par l’EC-Council ou ses affiliés. Plusieurs années d’expérience en sécurité de l’information sont également nécessaires pour obtenir la certification. Le programme se concentre sur la prévention des attaques par intrusion.

CISSP (Certified Information System Security Professional, Certification en sécurité des systèmes d’information)

Une personne ayant obtenu la certification CISSP a prouvé qu’elle a la capacité de concevoir, gérer et mettre en œuvre un programme de cybersécurité. La certification ne se limite pas à la sécurité de l’information, mais couvre tous les aspects de la cybersécurité.

CISA (Certified Information Systems Auditor, Certification d’auditeur des systèmes d’information)

Après des années d’expérience en sécurité de l’information, une personne peut postuler pour devenir auditeur CISA, un programme de certification proposé par l’ISACA. L'ISACA est une association professionnelle internationale visant à améliorer la gouvernance des systèmes d'information, en renforçant et en définissant des méthodes d'audit informatique strictes. La certification est généralement obtenue après avoir passé des tests rigoureux et validé le processus de candidature. Un auditeur CISA doit se conformer aux normes d'audit et satisfaire aux exigences de formation continue pour conserver sa certification.

GSEC (GIAC Security Essentials, Bases de la sécurité GIAC)

Une personne qui obtient la certification GIAC Security Essentials a démontré qu'elle possède les connaissances et les compétences requises pour effectuer des tâches pratiques de sécurité de l'information. Il s'agit d'un certificat de premier niveau conçu pour les personnes relativement novices dans le domaine, mais qui ont une certaine expérience des concepts et des procédures de sécurité de l'information.

Certification par l'ANSSI

L'ANSSI certifie également certains produits et solutions informatiques. Cette procédure valide que les produits utilisés par une entreprise ont satisfait à des évaluations de sécurité adaptées aux besoins de l'entreprise. La certification permet de garantir à l'entreprise et à ses partenaires commerciaux la bonne protection des données et de l'information d'une entreprise. Elle peut être demandée dans le cas d'appels d'offres par exemple ou pour offrir ses services à des marchés publics.

En vertu des accords internationaux signés par l’ANSSI, les certificats émis peuvent être reconnus hors de France.

Certification ISO/IEC 27001 - Sécurité de l’information

La norme ISO/IEC 27001 offre une approche pratique pour déployer un système de management de la sécurité de l'information qui garantit la confidentialité, l'intégrité et la disponibilité des données en y adjoignant une démarche de gestion des risques. La certification adossée à cette norme prouve que les professionnels disposent des compétences nécessaires pour évaluer et gérer efficacement les risques de sécurité liés à l'information.

En obtenant cette certification, vos équipes informatiques apportent la preuve à vos partenaires commerciaux que vous avez les compétences nécessaires en interne pour gérer un système de management de la sécurité de l'information (SMSI) efficace et robuste.

En dotant vos équipes et votre entreprise de certifications robustes et reconnues, non seulement vous agissez pour la sécurité de l'information au sein de votre entreprise et vous protégez des actes malveillants, mais vous envoyez également au marché un signal fort concernant votre engagement envers les meilleures pratiques de l'industrie et rassurez vos partenaires commerciaux.

Box vous aide à protéger votre contenu cloud

Vous souhaitez vous faire accompagner dans la protection de vos informations sur le cloud afin d'assurer la sécurité de vos informations ? Box dispose d'une expertise éprouvée dans la gestion des contenus hébergés dans le cloud et vous permet de vous lancer dans le cloud de contenu en toute sérénité. En optant pour des solutions de partage de fichiers, de signature électronique, de gestion des workflows et de conformité de Box, vous pouvez avancer en toute quiétude dans la digitalisation de votre contenu.

Découvrez la puissance du Content Cloud

En développant une plate-forme sécurisée unifiée pour toutes vos données, Box vous permet de gérer l'ensemble du cycle de vie de votre contenu en vous proposant notamment des solutions de création de fichiers, modification et édition partagées, signature électronique de documents, classification et conservation. Collaborez facilement autour de votre contenu avec plusieurs types d'utilisateurs aussi bien internes qu'externes à votre entreprise. Nous vous garantissons une sécurité et une conformité évolutives sans faille pour protéger vos activités et votre contenu. Vous pouvez également profiter de 1 500 intégrations fluides ainsi que d’une gamme de fonctionnalités natives, comme Box Sign.

Le Content Cloud de Box vous permet d’organiser vos flux de travail et votre sécurité tout en offrant à vos équipes tous les outils dont elles ont besoin pour rester efficaces et productives, sur site ou en télétravail.

Contactez-nous sans attendre pour découvrir ce que Box peut faire pour vous.

Box s’engage à proposer des produits et services vous garantissant une confidentialité, une sécurité et une conformité sans égales. Cependant, veuillez noter que les informations fournies dans cet article ne sont pas destinées à constituer un conseil juridique. Nous vous recommandons d’exercer une diligence raisonnable quant à votre conformité aux lois applicables.

Prêt à vous lancer avec Box ?