Les informations et les connaissances sont souvent les biens les plus précieux des organisations. Une étude révèle que celles-ci considèrent la cybercriminalité comme un risque majeur. Malgré cela et aussi surprenant que cela puisse paraître, la sécurité de l’information n’est pas encore tout à fait au point dans bon nombre d’entre elles.
Nous aimerions vous présenter quelques principes de base de la norme internationale ISO 27001 qui s’applique à toutes les organisations. La norme ISO 27001 contient des directives en matière de sécurité de l’information. Ces directives sont axées sur la confidentialité, l’intégrité et la disponibilité de l’information.
Nous commencerons par passer en revue ces 3 aspects essentiels de la sécurité de l’information. Nous vous expliquerons ensuite pourquoi il est nécessaire de la garantir tant en ligne que hors ligne. Enfin, nous vous présenterons quelques principes simples que vous pourrez mettre en œuvre.
Aspects essentiels de la sécurité de l’information
Confidentialité
Par confidentialité, il convient d’entendre la mesure dans laquelle seuls les personnes ou processus autorisés peuvent prendre connaissance et/ou faire usage de l’information.
Intégrité
L’intégrité de l’information est déterminée par son exactitude, son exhaustivité et sa correction.
Disponibilité
L’information doit être accessible en temps utile aux personnes ou processus autorisés.
Sécurité en ligne et hors ligne
La sécurité de l’information doit être assurée tant en ligne que hors ligne.
La sécurité en ligne s’impose en conséquence de la numérisation, des risques de cybercriminalité (piratages, logiciels malveillants) et des nouvelles lois en matière de signalement obligatoire des fuites de données (RGPD).
En ce qui concerne la sécurité hors ligne, les questions que vous devez vous poser sont notamment les suivantes: Qu’adviendra-t-il de l’information au sein de l’organisation si un incendie se déclare? Jusqu’à quel niveau une perte d’informations est-elle acceptable? Et pendant combien de temps certaines informations peuvent-elles être inaccessibles?
Principes simples à mettre en œuvre
Élaborez une politique de sécurité de l’information
Les clients attendent de leurs fournisseurs qu’ils traitent leurs informations de manière confidentielle. Les travailleurs attendent du département HR qu’il protège leurs données à caractère personnel. L’organisation elle-même veut être à nouveau opérationnelle rapidement après un incident, tel qu’un incendie ou un vol. Jamais auparavant la perception de la sécurité de l’information n’avait été aussi critique qu’aujourd’hui.
La politique de sécurité de l’information est essentielle en vue d’une bonne protection de l’information (ci-après ‘politique de sécurité de l’information’ ou ‘politique de protection des données’). De nombreuses organisations tombent dans le piège et se concentrent uniquement sur les aspects IT de la sécurité de l’information et/ou sur la confidentialité de l’information numérique.
Or, il convient d’assurer la sécurité de l’information au sens large du terme et pas seulement le volet IT. Les aspects suivants jouent également un rôle:
- les formes de l’information (numérique, analogique et connaissances)
- les aspects essentiels de l’information (disponibilité, intégrité et confidentialité)
- les mesures de gestion (technique, humain et organisation).
Divers facteurs pèsent sur la politique, notamment:
- la culture de l’organisation
- les exigences et attentes des clients et/ou fournisseurs
- la législation et la réglementation.
Il est évident que des mises à jour régulières de cette politique s’imposent compte tenu de l’évolution constante des procédures et des technologies mises en place.
Une bonne politique de sécurité de l’information comprend:
- la signification et la définition / l’importance de la protection des données du point de vue de l’organisation, ainsi que son but ou sa raison d’être (par exemple, énumération des menaces importantes, ou exigences légales ou contractuelles à respecter).
- les règles de conduite relatives au traitement des données. Le personnel doit être dûment informé de cette politique et de ses éventuelles mises à jour.
- les rôles et responsabilités définis.
Classez vos informations en catégories
Toutes les informations ne sont pas secrètes ou sensibles. Les adresses des clients sont sans doute un peu moins sensibles / confidentielles, mais les croquis d’innovations le sont souvent particulièrement. Classez les informations par étape de processus. Les informations de ‘catégorie I’ ne doivent pas être sécurisées. Les informations de ‘catégorie II’, par contre, doivent être sécurisées et les informations de ‘catégorie III’ ne peuvent pas se retrouver entre de mauvaises mains. Il importe ensuite de déterminer, pour chaque étape du processus, quelles informations sont nécessaires pour permettre aux collaborateurs de bien faire leur travail. Il s’agit donc de combiner sécurité et disponibilité en vue de garantir la continuité du travail.
Conseil: commencez par définir trois catégories et spécifiez ensuite des mesures de sécurité pour chaque catégorie. Puis, déterminez, pour chaque étape du processus, de quelle manière il est satisfait aux exigences de sécurité en vigueur. Attention aux supports amovibles (par exemple, les clés USB contenant des données) et aux appareils qui sont remplacés. Évitez que les données de l’entreprise ne tombent entre de mauvaises mains en les détruisant (en les faisant détruire) comme il se doit.
Évaluez la disponibilité des informations
Faites en sorte que vos collaborateurs n’aient accès qu’aux informations nécessaires à l’exercice de leur fonction. Pour ce faire, travaillez avec des ‘groupes de fonctions’. Limitez les droits d’administrateur sur les systèmes aux personnes compétentes.
Conseil: toutes sortes de niveaux d’accès et de sécurité sont évidemment paramétrés dans les systèmes ERP. Mais attention aux manières simples de contourner ces mesures qui peuvent vous réserver de mauvaises surprises. Pensez par exemple aux commentaires laissés sur les réseaux sociaux à propos de la visite d’un client.
Réalisez une analyse de vulnérabilité
Le piratage éthique (ethical hacking) vous permet de vous faire une idée de la vulnérabilité de votre environnement IT. Le test peut être spécifiquement axé sur le réseau, les systèmes IT et/ou les applications (web). Vous pouvez également réaliser des tests d’ingénierie sociale, qui consistent à examiner dans quelle mesure (un collaborateur d’)une organisation est sensible aux tentatives de manipulation visant à obtenir des informations sensibles.
Sensibilisation
La sécurité de l’information repose avant tout sur le soutien dont elle bénéficie de la part de la direction (supérieure). Pour créer ce soutien, il est nécessaire de comprendre les risques liés à la diffusion de l’information et les conséquences susceptibles de menacer l’organisation. Dans le système des mesures de gestion, le ‘facteur humain’ est le maillon faible. La sensibilisation à l’importance de la sécurité de l’information contribue en grande partie à renforcer cette sécurité. Dans un monde idéal, tous les collaborateurs accordent naturellement l’attention nécessaire à la gestion appropriée de l’information.
Conclusion
La sécurité de l’information est donc un concept très vaste.
Elle ne renvoie pas uniquement aux dangers potentiels de l’extérieur (par exemple, une attaque par déni de service [DDoS]), mais concerne également l’organisation interne.
Qui plus est, il ne s’agit pas uniquement d’empêcher la perte d’informations. Il convient également de garantir que les informations sont exactes et complètes, et que seules les bonnes personnes puissent y avoir accès.
Toute information (tout flux d’informations) doit répondre à des exigences propres à l’égard de ces trois aspects essentiels. Certaines informations sont hautement confidentielles; d’autres, en revanche, sont précisément destinées à être accessibles au public. Certaines informations sont soumises à une exigence d’intégrité élevée; d’autres, par contre, ne doivent pas nécessairement être correctes. C’est vrai aussi pour la disponibilité. Certaines informations sont essentielles au fonctionnement de l’entreprise; d’autres, par contre, sont considérées comme ‘complémentaires, accessoires’.
Ce sont en fin de compte ces exigences de confidentialité, d’intégrité et de disponibilité des différents flux d’informations qui déterminent si (et dans quelle mesure) il est nécessaire de prendre des mesures de gestion.
Envie de mettre en œuvre ces principes dans votre organisation? Prenez contact, sans engagement, avec notre équipe Business Risk Services.
