Sécurité des données

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

En sécurité des systèmes d'information, la sécurité des données est la branche qui s'intéresse principalement aux données, en complément des aspects de traitement de l'information.

Rappel sur les données informatiques[modifier | modifier le code]

Depuis le début de l'Histoire (apparition de l'écriture), l'homme manipule des informations, qui se traduisent par des données, plus ou moins structurées.

L'avènement de l'informatique depuis la fin des années 1940 aux États-Unis a introduit une forme numérique de données, enregistrées sur des supports électroniques. Cette évolution est comparable à l'avènement de l'imprimerie au XVe siècle dans les années 1450.

À la base, le support des données est la mémoire de l'ordinateur, sur laquelle opèrent les instructions élémentaires des programmes informatiques.

Il n'est pas possible de traiter la sécurité des données, sans rappeler cet aspect fondamental :

Les données sont traitées avec des matériels informatiques et des systèmes d'exploitation.

Sur les différents types de matériels informatiques (avec leurs périphériques), des supercalculateurs aux micro-ordinateurs, en passant par les ordinateurs centraux et les systèmes ouverts, on trouve toujours les différents types de support physique suivants :

Les données peuvent circuler entre ces systèmes dans des réseaux physique de communication : réseaux de télécommunications, réseaux locaux, réseaux de télécommunications par satellites

Sur les supports physiques, on doit implanter des systèmes qui gèrent les accès aux données et leur traitement : les accès logiques de ces systèmes peuvent être de type séquentiel ou indexé, les fichiers étant le plus souvent remplacés par des bases de données permettant des accès et mises à jour plus évoluées.

Les systèmes de gestion de bases de données (SGBD) sont du niveau logiciel de base, et permettent à l'ordinateur de gérer ces différents types de traitement sur les données.

On distingue les niveaux :

  • Conceptuel,
  • Logique,
  • Physique.

Bref historique de la sécurité des données[modifier | modifier le code]

Au cours des dernières années, la mondialisation, spécialement sous ses aspects économiques et financiers, a engendré des projets informatiques de dimension mondiale.

On notera en particulier le passage informatique à l'an 2000 (Y2K), qui a nécessité la vérification et la conversion de 300 à 600 milliards de lignes de programme potentiellement affectées dans le monde (estimation du Gartner Group).

En Europe, le chantier du passage à l'euro a représenté un coût sensiblement équivalent à celui du passage informatique à l'an 2000 sur le périmètre européen. Le projet s'est déroulé en deux phases : première phase début 1999 avec le passage à l'euro des marchés financiers et des applications financières des entreprises, deuxième phase, de loin la plus importante, la conversion de la plupart des autres applications informatiques, qui ne put s'effectuer en général qu'en 2000 et 2001, pour des questions de contraintes par rapport au passage informatique à l'an 2000 (Y2K) [1], et par rapport aux exercices comptables.

Dans ces deux projets, les exigences d'interopérabilité et les données informatiques ont joué un rôle essentiel, puisqu'il s'agissait du format des champs date (une métadonnée) et devise dans les systèmes et les enregistrements informatiques.

Du point de vue du matériel informatique, en Europe, le passage informatique à l'an 2000 a représenté un impact plus important que le passage à l'euro. En d'autres termes, on pourrait dire que le passage informatique à l'an 2000 a comporté des aspects plus techniques, alors que le passage à l'euro a représenté des enjeux plutôt fonctionnels.

En 1991, le département de la Défense des États-Unis a mis au point des critères communs de sécurité (voir TCSEC), et simultanément les organisations européennes ont défini une politique de sécurité des systèmes d'information (ITSEC).

Les enjeux de la sécurité des données[modifier | modifier le code]

Au niveau des personnes et des organisations[modifier | modifier le code]

Les enjeux de la sécurité des données sont les suivants (cette liste est loin d'être exhaustive) :

  • Achats : demandes d'achat (dans l'aéronautique, l'automobile… par exemple), critères utilisés pour le choix des fournisseurs.

La sécurité des données implique certaines façons de structurer les données.

Au niveau macroéconomique[modifier | modifier le code]

En ingénierie des systèmes, les enjeux de sécurité des données sont aujourd'hui très importants, du fait des interconnexions multiples entre systèmes hétérogènes et répartis, que ce soit dans les systèmes de contrôle industriels, dans les systèmes de transport, dans les applications de gouvernance d'entreprise et de gestion intégrée, dans les applications d'ingénierie des connaissances, dans les systèmes décisionnels, dans les systèmes des marchés financiers

Ces systèmes se rencontrent aujourd’hui dans des organismes très différents : entreprises, services publics, institutions internationales, administrations centrales et territoriales (régions et villes), centres d'études et de recherches, universités, grandes écoles, chambres de commerce et d'industrie. On parle quelquefois de parties prenantes (traduction de l'anglais stakeholder, littéralement, détenteur d'enjeux).

On trouvera une illustration de la diversité des systèmes physiques concernés dans l'article cohérence des données en univers réparti.

Pour approfondir :

  • Sur les différents aspects de la sécurité, voir l'article sécurité.
  • Sur les aspects liés à la communication, voir communication,
  • Sur les enjeux liés spécifiquement à l'interconnexion des systèmes physiques, on peut consulter l'article interopérabilité.
  • Sur les risques, voir risque.

Avec l'avènement des technologies de l'intelligence collective et de la connaissance (TICC, expression de Bernard Besson), il y a des risques de perte de compétences dans les entreprises, si les usages des informations ne sont pas bien définis par rapport au contexte, et si la communication est mal contrôlée.

Voir :

L'enjeu le plus important est avant tout humain : il s'agit de préserver le capital intellectuel.

En termes techniques, on parle d'une classification des "actifs", indispensable surtout pour l'ingénierie des connaissances.

Ces enjeux sont tels qu'ils posent des questions de souveraineté.

Rappel des concepts de sécurité de système d'information[modifier | modifier le code]

Les aspects de la sécurité des systèmes d'information[modifier | modifier le code]

On distingue en sécurité de l'information plusieurs aspects, qui sont d'ailleurs liés aux données :

La norme ISO 13335 (qui n'existe qu'en anglais) mentionne également la non-répudiation, la gestion de la preuve (imputabilité), et l'authentification :

Les concepts fondamentaux[modifier | modifier le code]

Article détaillé : Critères communs.

Les critères communs (en anglais common criteria), définis au niveau international, doivent être documentés sous la forme de profils de protection, ceux-ci étant des informations essentielles pour s'assurer de la sécurité des informations, au plus haut niveau.

Article détaillé : Profil de protection.

En urbanisation des systèmes d'information, en préalable à l'établissement de toute cartographie des données, il est nécessaire de procéder à l'« alignement stratégique », dans lequel la définition du profil de protection est l'un des principaux prérequis.

Les acteurs de la sécurité des systèmes d'information[modifier | modifier le code]

Article détaillé : Tiers de confiance.

Les professionnels de la sécurité des systèmes d'information reconnaissent trois types d'acteurs de la sécurité :

  • l'autorité de certification,
  • l'autorité d'enregistrement,
  • l'opérateur de certification.

En 1991, l'Europe a défini un standard d'organisation de politique de sécurité, ITSEC, qui n'a pas obtenu le statut de norme internationale (ISO).

Dans chaque grande entreprise, on trouve un responsable de la sécurité des systèmes d'information (RSSI), qui dépend hiérarchiquement du directeur informatique ou du directeur de la sécurité selon les cas. Si le RSSI dépend hiérarchiquement du directeur de la sécurité, il a des relations fonctionnelles avec le (ou les) directeurs informatiques (et réciproquement).

L'organisation[modifier | modifier le code]

L'organisation de la sécurité des données est une partie essentielle de la sécurité des systèmes d'information. Elle doit être définie dans une politique de sécurité des systèmes d'information.

Cette politique doit indiquer les rôles respectifs des acteurs de l'entreprise et des tiers de confiance dans le processus de certification.

Une analyse globale par les données permettra de décliner la PSSI en politiques spécialisées (système informatique, réseaux…).

Le projet de sécurisation des données[modifier | modifier le code]

Identification et évaluation des données sensibles[modifier | modifier le code]

Pour sécuriser les données sensibles, il faut tout d'abord avoir conscience des actifs de l'entreprise à protéger, et de leur valeur.

Différentes classifications des actifs existent, sans qu'il y ait de normalisation de tous les types d'actifs.

Nous donnons ici une courte liste proposée par la norme ISO 13335-1 (concepts et modèles de sécurité informatique), dont nous rappelons qu'elle n'a pas été traduite en français :

Au sujet des personnes, on remarquera que, au-delà de l'état sanitaire, le savoir-faire est du plus grand intérêt pour l'entreprise. Son évaluation est capitale en ingénierie des connaissances.

Les méthodes comptables traditionnelles prennent mal en compte ce type de capital (voir capital).

Le modèle d'intelligence économique considère que l'enrichissement et la protection du patrimoine informationnel regroupent les points clés suivants :

  • L'éthique :
    • La protection de la vie privée et des données individuelles,
    • L'application d'une déontologie dans le recueil d'informations et les pratiques d'influence,
    • L'application d'une rigueur d'ontologique dans la sous-traitance d'information et de l'influence.
  • Les connaissances et les compétences :
    • L'identification et l'évaluation des connaissances et des compétences,
    • La protection (droit, propriété intellectuelle…),
    • La maîtrise des TIC.
  • La création de valeur, avec plusieurs types de valeurs :
    • Actionnaire,
    • Client,
    • Personnel,
    • Collectivité,
    • Partenaires (développement de l'innovation).
  • L'image :
    • Perception,
    • Evaluation,
    • Promotion.

Les méthodes d'audit d'intelligence économique et d'ingénierie des connaissances proposent également des questionnaires types permettant de répertorier les éléments de la mémoire d'entreprise, de les évaluer et de les structurer en processus métier, en parallèle aux processus de gestion administrative.

Ce sont tous ces actifs qu'il s'agit de sécuriser. Les études les plus récentes sur le capital immatériel, notamment l'étude du CIGREF effectuée en 2006, montrent que la fiabilité et l'auditabilité des données sont une condition nécessaire de l'évaluation du capital immatériel des entreprises, donc de l'évaluation du retour sur investissement des projets d'ingénierie des connaissances, et de la création de valeur.

Choix du tiers de confiance[modifier | modifier le code]

Article détaillé : Tiers de confiance.

Dans le cadre de la stratégie de l'organisme, et de sa politique de sécurité des systèmes d'information, les responsables du SI doivent veiller avec le plus grand soin au choix du tiers de confiance en fonction du profil de protection proposé.

Conception de l'architecture de données sécurisée[modifier | modifier le code]

Article détaillé : Profil de protection.

De l'avis même des experts, il existe une relation entre la sécurité et l'architecture des systèmes d'information.

L'évaluation et l'implémentation du profil de protection demandent d'examiner les critères communs, en les positionnant au niveau adéquat du système d'information. L'utilisation d'un méta-modèle d'urbanisme peut aider à trouver des repères communs pour évaluer et implémenter un profil de protection, car les impacts de la sécurisation peuvent se trouver à tous les niveaux, du matériel informatique, jusqu'à toutes les couches de logiciels et aux réseaux.

Les projets de système d'information, éventuellement le chantier d'urbanisation du système d'information s'il existe, devront intégrer les données correspondant à la sécurité de l'information.

Pour répondre aux enjeux de niveau microéconomique, il est nécessaire de mettre en œuvre des normes de gestion des enregistrements (record management, voir liste de normes ISO par domaines). Il faut structurer les données qui indexent les documents, essentiellement les clients, les produits et les services (métadonnées), et faire en sorte que ces données aient des structures comparables pour pouvoir faire dialoguer les applications de gestion administrative et les applications d'ingénierie des connaissances (documentation, sites web, forums, information dite non structurée).

Exemple : le processus achat doit pouvoir identifier avec beaucoup de précision, au niveau de la demande d'achat, les documents de spécification des composants d'un moteur d'avion que l'on souhaite acheter à un fournisseur. Il s'agit de la traçabilité, de l'analyse du cycle de vie, de l'évaluation du prix (TCO), de la responsabilité du fait des produits défectueux, et également de l'image.

L'utilisation d'une infrastructure de clé publique (PKI) n'apportera une sécurité réelle, dans les applications en réseaux complexes, que si elle est associée à l'utilisation d'un registre de métadonnées. À l'élément identifiant, on pourra associer le certificat électronique.

Organisation du programme[modifier | modifier le code]

Une bonne sécurité des données sera obtenue par la mise en place d'une politique de sécurité des systèmes d'information (voir l'article détaillé).

La norme ISO 13335, élaborée en 1996, donnait déjà les grandes lignes d'un programme de gestion de la sécurité, qui se trouvait être un enjeu important à ce moment-là.

Un tel programme se situe à plusieurs niveaux des organisations :

  • Le niveau département (ou business unit),
  • le niveau domaine ou projet, ou l'on trouve l'administrateur.

En général, aux niveaux inférieurs de la hiérarchie, la personne chargée de la sécurité n'a pas cette seule tâche. Il s'agit le plus souvent d'un correspondant, qui a d'autres responsabilités en parallèle.


Le programme ne peut être efficace que si l'on met en place un comité de pilotage. Les méthodes contemporaines de discussion sont les forums. La sécurité informatique devrait donc faire l'objet d'un forum particulier, dont les rôles sont :

Un tel forum pourrait comprendre les représentants ou correspondants sécurité, qui ont pour rôle d'examiner les liens avec d'autres programmes. On peut citer :

Quelques aspects de la sécurité des données[modifier | modifier le code]

Exigences de sécurité[modifier | modifier le code]

D'une façon générale, les exigences de sécurité des systèmes d'information sont analysées avec l'échelle Evaluation Assurance Level.

Pour les applications civiles, les exigences de sécurité ne dépassent en général pas le niveau EAL 4+.

Pour les applications militaires, les exigences de sécurité vont des EAL 5 à 7.

La sécurité globale d'un système d'information sera celle du maillon le plus faible, et sera bien représentée par la sécurité des bases de données ou celle des interfaces entre les applications. Il est donc crucial de s'intéresser aux EAL des SGBD et des systèmes d'interfaçage (bus informatiques, EAI).

Dans le cas du logiciel libre, les niveaux de sécurité des bases de données employées (MySQL,...) sont en général assez bas dans l'échelle EAL, en raison de la moindre puissance financière des communautés de logiciel libre.

Protection du patrimoine informationnel[modifier | modifier le code]

Article détaillé : Patrimoine informationnel.

Une protection efficace du patrimoine informationnel nécessite avant tout une étude approfondie du cadre juridique. Il est très important de prendre conscience qu'il existe une hiérarchie dans la réglementation. Par exemple, dans l'Union européenne, les directives européennes priment sur les lois des États membres (hiérarchie des normes).

On doit croiser cette étude juridique avec :

Il est nécessaire de bien structurer à la fois les données et les communautés de pratique, qui ont en commun le domaine d'activité et le niveau de sécurité. C'est un aspect important de la gestion de contenu.

On doit utiliser les métadonnées d'une façon normalisée avec un registre de métadonnées. On doit examiner comment intervient chaque élément dans la sécurité, ainsi que les raffinements associés, comme par exemple : identifiant et certificat électronique associé, nature du document, portée du document, droits, audience, etc.

Gestion de la preuve[modifier | modifier le code]

En pratique, la sécurité des données doit se mettre en œuvre par des actions concernant l'enregistrement des données électroniques.

Sécurité des enregistrements

Les données qui permettent de gérer la sécurité, liées au profil de protection à choisir (ou choisi), doivent être positionnées dans le système d'information de telle manière que l'enregistrement effectué puisse fournir la preuve des actions d'une personne ou d'une entreprise et des affaires correspondantes.

La gestion de la preuve fait l'objet d'une norme, la norme ISO 15489 (en anglais et en français).

Enregistrement des données et gestion de la preuve

La sécurité et l'enregistrement des données et la gestion de la preuve sont donc en relation très étroite.

Il ne peut pas y avoir de bonne gestion de la preuve, sans un bon enregistrement des données tout au long du cycle de vie et des processus associés (filières). Ainsi, il faut décrire de façon très précise les impacts sur les opérations suivantes :

Ces processus sont de la plus haute importance en informatique, car ils contiennent le capital des connaissances dites explicites, en langage d'ingénierie des connaissances.

En fin de compte, on ne peut évidemment pas découpler totalement les aspects données et traitements de l'information, de sorte que le choix de l'architecture de données influence fortement l'architecture physique de l'ordinateur, et en particulier sa capacité à effectuer des processus en multitâches (voir aussi multiprocesseurs). C'est la raison pour laquelle il est préférable d'étudier la sécurisation des données dans le cadre d'une démarche d'urbanisation des systèmes d'information. Pratiqué par 35 % des organisations françaises interrogées en 2010[2], l’archivage de contenus à valeur probatoire devrait concerner 71 % d'entre elles d’ici 2012.

Protection des données personnelles[modifier | modifier le code]

Il existe dans l'Union européenne des règlements sur la protection de la vie privée, en particulier la directive 95/46 du 24 octobre 1995 sur la protection des données. Le G29 est un groupe européen chargé de coordonner les autorités de protection des données de l’Union européenne.

Dans le droit français, la Loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 indique, dans son article 34, que "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".

Il s'agit d'une obligation de moyens, non de résultats.

Le 23 mars 2010 une proposition de loi a été votée en première lecture au Sénat, qui vise à renforcer cette obligation de sécurisation des données à caractère personnel.

Cette proposition de loi, visant à mieux garantir le droit à la vie privée à l’heure du numérique, introduirait l'obligation, pour le responsable de traitement, à notifier à la CNIL les "violations de traitements de données personnelles" : « En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés, ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le responsable du traitement, avec le concours du correspondant informatique et libertés, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. Le correspondant informatique et libertés en informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes".

Ce type d'obligation existe déjà à l'étranger, notamment aux USA sous l'appellation de Security breach notification laws, mais aussi en Allemagne depuis le 1er septembre 2009.

Si cette loi est promulguée, il s'agirait d'une obligation de résultat.

L'AFCDP (Association française des correspondants à la protection des données à caractère personnel) mène des travaux au sein de son groupe de réflexion "Notification des atteintes aux traitements de données personnelles" dans le cadre de l'éventuel décret d'application.

Intégrité référentielle[modifier | modifier le code]

Article détaillé : Intégrité référentielle.

Normalisation et certification[modifier | modifier le code]

Normalisation[modifier | modifier le code]

Les normes applicables sont :

Sur les métadonnées en particulier, voir Normalisation des métadonnées.

Sur la gestion de la preuve ou imputabilité (records management en anglais), voir ISO 15489 et Métadonnées et traçabilité.

La norme ISO 27000 est une norme générale sur la sécurité du système d'information.

Certification[modifier | modifier le code]

Pour l'application de la norme ISO 15408, en France, il existe cinq CESTI (centres d'évaluation de la sécurité des technologies de l'information) chargés de l'évaluation :

  • AQL (SILICOMP)
  • CEA LETI
  • THALES (T3S-CNES)
  • OPPIDA
  • SERMA Technologies

En dernière instance, c'est la ANSSI qui valide l'agrément et délivre le certificat.

Références[modifier | modifier le code]

  • Défense nationale et sécurité collective, février 2006,
  • Prévenir les risques. Agir en organisation responsable. Andrée Charles, Farid Baddache. Editions AFNOR. 2006. (ISBN 2-1247-5519-6).
  • 100 questions pour comprendre et agir. Gestion des risques. Jean-Paul Louisot, avec la participation de Jacques Lautour. AFNOR et CARM Institute (Cercle des Affaires en Risk Management). 2005 - (ISBN 2-12-475087-9)
  • Modèle d'intelligence économique, AFDIE, Economica, Bernard Besson, Dominique Fonvielle, 2004.
  • L'audit d'intelligence économique, mettre en place et optimiser un dispositif coordonné d'intelligence collective, Bernard Besson et Jean-Claude Possin, (ISBN 2-10-006699-4), Dunod, 2002,
  • Convaincre pour urbaniser le SI, Jean-Christophe Bonne et Aldo Maddaloni, Lavoisier, 2004.
  • Traité des nouveaux risques - Précaution, crise, assurance, Olivier Godard, Claude Henry, Patrick Lagadec, Erwann Michel Kerjen, Folio actuel inédit 2002.
  • Revue française du marketing, n° 200, décembre 2004.

Voir aussi[modifier | modifier le code]

Sur les enjeux liés au contexte de communication

* Responsabilité sociétale d'entreprise

Sur la sécurité des systèmes d'information


Sur la gestion de projet


Sur la normalisation


Dans la Wikipedia anglophone :

Notes et références[modifier | modifier le code]

  1. Conférence du 30 avril 1998 sur l'internet
  2. Markess International, Référentiel de Pratiques Archivage & conservation de contenus électroniques - 2010

Liens externes[modifier | modifier le code]

http://www.mitre.org/news/the_edge/february_01/highlights.html
http://www.mitre.org/work/tech_papers/tech_papers_98/nims_information/nims_info.pdf (1998)