Sécurité de l’information : le mirage de la cybersécurité et de la confidentialité
- La direction
- il y a 21 heures
- 5 min de lecture
Stop à la naïveté en sécurité de l’information!
Vous pensez qu’assurer la confidentialité de l’information en cybersécurité vous sauvera?
Pure folie.
La cybersécurité et la confidentialité ne sont que la pointe de l’iceberg. Si vous négligez les autres piliers et caractéristiques de la sécurité de l’information, préparez vous à un désastre.
C’est l’heure de la vérité brutale. Êtes-vous vraiment prêt?
C’est parti pour la chasse aux licornes!
L’efficacité de la résilience en sécurité de l’information, particulièrement dans des situations de crise, est souvent mal évaluée en raison de l’erreur répandue de résumer cette sécurité à la protection de la confidentialité via la cybersécurité.
Les plans de continuité et de reprise après sinistre, bien que fondamentaux, ne sont pas suffisants sans une évaluation précise des risques spécifiques à chaque contexte.
Protéger des actifs informationnels sans une connaissance approfondie de leur existence ou des menaces potentielles est une démarche vouée à l’échec. Une préparation adéquate en matière de sécurité de l’information nécessite une identification et une compréhension approfondies des actifs ainsi que des menaces et vulnérabilités les concernant. Voyons deux erreurs à éviter.
La confidentialité, garante de la sécurité de l’information
→ PREMIÈRE ERREUR!
Il est crucial de remettre en question certaines idées répandues dans le domaine de la sécurité de l’information, notamment la perception erronée que la confidentialité est l’unique garant de la sécurité. En réalité, la sécurité de l’information englobe bien plus que la cybersécurité, s’appuyant sur la triade fondamentale :
disponibilité (availability),
intégrité (integrity)
et confidentialité (confidentality).
Cette triade est appelée DIC en français ou CIA en anglais. Ces trois caractéristiques sont essentielles et doivent être analysées et priorisées pour une sécurité effective.
De quoi est-il question?
La confidentialité vise à restreindre l’accès à l’information aux seules entités autorisées.
L’intégrité assure l’exactitude et la complétude de l’information, tandis que la disponibilité garantit que les informations nécessaires sont accessibles aux utilisateurs autorisés au moment opportun.
Se concentrer exclusivement sur l’un de ces aspects au détriment des autres peut compromettre la sécurité globale de l’information si ce choix n’est pas fondé sur une décision éclairée et documentée, mais simplement sur la pire erreur de notre temps : considérer que ce qui est important, c’est la confidentialité de l’information garantie par la cybersécurité!
Considérons trois scénarios dans une pharmacie illustrant l’importance de chaque caractéristique de la triade DIC :
Le premier scénario montre une atteinte à la confidentialité avec la divulgation de dossiers personnels, un incident de sécurité souvent jugé inacceptable.
Le deuxième scénario, qui concerne la disponibilité, implique un retard dans la délivrance d’une ordonnance causé par une mise à jour logicielle. Une situation frustrante, mais généralement moins critique à la pharmacie du coin.
Le troisième scénario, qui touche l’intégrité, concerne la remise d’un mauvais médicament ou dosage, un manquement grave pouvant mettre en danger la vie. Ce dernier scénario l’emporte largement sur les deux premiers.
Ces exemples montrent l’erreur de prioriser une caractéristique de la triade DIC sans fondement ou
questionnement, menant à des stratégies de sécurité inadaptées.
Par exemple, dans un contexte médical, la disponibilité de l’information peut s’avérer plus cruciale que sa confidentialité, comme le souligne l’exemple des bracelets MdicAlert.
Cette approche reconnaît l’importance de rendre certaines informations médicales facilement accessibles en cas d'urgence, valorisant la disponibilité par rapport à la confidentialité.
La cybersécurité garantit la sécurité de l’information
→ DEUXIÈME ERREUR!
L’étymologie des termes « sécurité » et « information » nous offre une perspective enrichissante sur leur signification profonde. La sécurité de l’information ne se limite pas à la défense contre des intrusions numériques, mais implique une protection globale de l’intégrité, de la confidentialité et de la disponibilité des informations, nécessitant une variété de mesures de protection.
Historiquement, la sécurité de l’information a toujours été une préoccupation, dès l’apparition du langage il y a environ 100 000 ans. La disponibilité de l’information se manifestait par l’échange verbal de connaissances, l’intégrité était maintenue par des méthodes mnémotechniques comme les rimes et les légendes, et la confidentialité était contrôlée par des rites de passage limitant l’accès à des informations spécifiques.
Ces pratiques anciennes illustrent les fondements de la sécurité de l’information, mettant en évidence la nécessité d’un filtrage de sécurité, ou « habilitation de sécurité », comme premier pilier fondamental.
Se concentrer exclusivement
sur l’un de ces aspects
au détriment des autres peut compromettre la sécurité globale de l’information.
Il y a près de 40 000 ans, avec l’évolution du langage symbolique et l’invention de l’écriture, de nouvelles dimensions de la sécurité de l’information ont émergé. La protection des informations écrites contre les intempéries,l’authentification des copies par des sceaux et l’utilisation du chiffrement ont été développées pour protéger les caractéristiques de la triade, mettant en évidence la nécessité de la sécurité physique comme deuxième pilier fondamental.
Finalement, il y a moins de 100 ans, l’avènement des technologies de l’information modernes a introduit un troisième pilier : la sécurité des technologies de l’information, ou « cybersécurité ». Cette ère a nécessité des approches spécifiques pour chaque caractéristique de la triade DIC, telles que des sauvegardes régulières pour la disponibilité, des empreintes cryptographiques pour l’intégrité et des méthodes de chiffrement avancées pour la confidentialité.
La sécurité de l’information est un domaine complexe qui nécessite une compréhension approfondie et une approche holistique, reconnaissant l’importance des caractéristiques de la triade DIC et des piliers de la sécurité de l’information. Établir de manière éclairée la priorité entre confidentialité, intégrité et disponibilité selon le contexte est crucial pour élaborer des stratégies de sécurité efficaces.
De plus, il est essentiel de ne pas limiter la sécurité de l’information à la cybersécurité, mais de comprendre son essence, comme la protection globale des connaissances contre diverses menaces en intégrant le filtrage de sécurité, la sécurité physique et, finalement, les technologies de l’information pour une résilience maximale correspondant à la situation.
Article rédigé par Francis Coats, ing. PSP CISSP
Francis Coats ing. PSP CISSP, expert en sécurité, en sécurité physique, sécurité de l’information, cybersécurité et technologies.
Pour en savoir plus : https://www.linkedin.com/in/francis-coats-ing-psp-cissp/
COMPLÉMENT : DÉVELOPPER UNE APPROCHE HOLISTIQUE DE LA SÉCURITÉ DE L'INFORMATION
Application pratique de la triade DIC
Inventorier tous les actifs, tangibles et intangibles, depuis les serveurs jusqu’aux bases de données.
Créer un tableau de référence pour évaluer uniformément la confidentialité, l’intégrité et la disponibilité des actifs.
Attribuer trois cotes de sécurité (DIC) en se basant sur ce tableau pour représenter la valeur de chacun des actifs.
Intégrer ces cotes dans l’évaluation des menaces et des risques pour hiérarchiser la protection des actifs et déterminer les mesures de protection appropriées.
Réévaluer périodiquement ces cotes pour rester à jour avec les changements dans l’environnement.
Application pratique des piliers en sécurité de l’information
Vérifier les compétences du responsable : s’assurer que le directeur de la sécurité de l’information (DSI) possède des connaissances approfondies en filtrage de sécurité, en sécurité physique et en cybersécurité.
Structurer les départements : organiser les départements de cybersécurité, de filtrage, de sécurité en ressources humaines et de sécurité physique pour qu’ils relèvent directement et conjointement du directeur de la sécurité et du DSI.
Établir une hiérarchie claire : placer ce responsable sous l’autorité directe du directeur de la sécurité (CSO [chief security officer]), la plus haute instance décisionnelle de l’organisation en matière de sécurité.
Intégrer les piliers dans les évaluations : inclure les trois piliers de la sécurité de l’information dans chaque évaluation des menaces et des risques, assurant une couverture complète des aspects de sécurité.
Ne pas mélanger les rôles relatifs à la sécurité, aux opérations et à l’audit.
Exemple de structure organisationnelle
ILLUSTRATION
