Sécurité de l'information

Un article de Wikipédia, l'encyclopédie libre.
Symbole de sécurité de l'information
Symbole de sécurité de l'information.

La sécurité de l'information est un ensemble de pratiques visant à protéger des données.

La sécurité de l'information n'est confinée ni aux systèmes informatiques, ni à l'information dans sa forme numérique ou électronique. Au contraire, elle s'applique à tous les aspects de la sûreté, la garantie, et la protection d'une donnée ou d'une information, quelle que soit sa forme.

Définition[modifier | modifier le code]

La plupart des définitions de la sécurité de l'information tendent à cibler, quelquefois exclusivement, sur des utilisations spécifiques ou des médias particuliers. En fait, la sécurité de l'information ne peut pas être définie comme synonyme de la sécurité informatique, de la sécurité système et réseau, de la sécurité des technologies de l'information, de la sécurité du système d'information, ou de la sécurité des technologies de l'information et de la communication.[réf. souhaitée]

Chacune de ces expressions traite d'un sujet différent, même si le point commun concerne la sécurité de l'information dans quelques-unes de ses formes (ici, sous sa forme électronique) : par conséquent, tous sont des sous-domaines de la sécurité de l'information.[réf. souhaitée]

Histoire[modifier | modifier le code]

Époque romaine[modifier | modifier le code]

La sécurité de l’information trouve son origine dans le monde militaire. Déjà à l’époque de Jules César, les généraux militaires étaient conscients qu’ils devaient protéger la confidentialité et la fiabilité de leurs communications et les informations transmises. Pour assurer la sécurité de leurs communications ont été mises en place les premières formes de cryptographie avec le cryptage César, ainsi que des procédures strictes et une sécurité physique (surveillance)[1].

XIXe siècle[modifier | modifier le code]

Au milieu du XIXe siècle, les premiers systèmes de classification ont été mis au point pour diviser l’information en en différentes classes selon sa sensibilité qui devaient être protégées par différentes mesures. La Première et la Second Guerre mondiale ont été un vecteur de l’accélération de la sécurité de l’information, la cryptographie hors ligne, la sécurité physique et des procédures strictes mais également l’utilisation des machines électromécaniques portables servant au chiffrement et au déchiffrement de l'information (tel qu'Enygma).[réf. souhaitée]

XXe siècle[modifier | modifier le code]

À la fin du XXe siècle, l’information s’est développée de plus en plus sous forme numérique, menant à de nouvelles contraintes relatives à la sécurité de l’information. Pour assurer la sécurité informatique ou cybersécurité ont été mises en œuvre les mesures TEMPEST[réf. nécessaire], la sécurité du réseau (ex. Les pare-feu), le cryptage en ligne (ex.VPN), le contrôle de l’identité et des accès ainsi que le développement du chiffrement par clé,principe développé par Auguste Kerckhoffs, aujourd'hui utilisé sous forme de chiffrement symétrique et chiffrement asymétrique.[réf. souhaitée]

XXIe siècle[modifier | modifier le code]

Au XXIe siècle, la majorité des organisations dispose d’un système d’information connecté à Internet et échange des informations via celui-ci. Les informations peuvent donc être amenées à circuler à travers une interconnexion de réseaux. Cette interconnexion est donc d’autant plus exposée aux risques de malveillance pour accéder aux informations sensibles depuis l’intérieur (copie de l’information, utilisation de code malveillant) et depuis l’extérieur.[réf. souhaitée]

Par conséquent, face à ses risques la sécurité de l’information pousse à développer des concepts, tel que l’étiquetage des données[Quoi ?], le chiffrement à clés publiques (PKI) et la sécurité multiniveau (MLS).[réf. souhaitée]

En complément des problèmes de liaison entre les réseaux, il est de plus en plus facile de déplacer de grandes quantités d’informations (et ce de façon relativement difficile à détecter dans le cas de piratage informatique) mais également de les transporter de manière physique via des clés USB ou carte mémoires. Par conséquent, les systèmes d’information contenant des informations sensibles sont de plus en plus conçus comme un environnement System high mode (en), c’est-à-dire souvent des réseaux séparés sans connexion à d’autre réseaux et sans ports USB.[réf. souhaitée]

Sytem high mode : Mode de fonctionnement de la sécurité du système d'information, où l'accès direct ou indirect de chaque utilisateur au système d'information, à ses équipements périphériques, au terminal distant ou à l'hôte distant présente toutes les caractéristiques suivantes: 1) L'autorisation de sécurité est valable pour toutes les informations du système d'information; Pour toutes les informations stockées et / ou traitées (y compris tous les compartiments, sous-compartiments et / ou procédures d'acquisition spéciales) l'approbation formelle d'accès et les accords de confidentialité signés; 3) Il est nécessaire de savoir si certaines informations contenues dans le système d'information sont valides. Raison: Suppression du système avancé et d'autres termes connexes.[1]

Critères de sensibilité[modifier | modifier le code]

Représentation de la triade Disponibilité (D), Intégrité (I) et Confidentialité (C).

Trois critères de sensibilité de l'information sont communément acceptés : Disponibilité, Intégrité et Confidentialité.[réf. souhaitée]

Un quatrième est aussi souvent utilisé (sous différents noms) : Traçabilité, Imputabilité, Auditabilité (se référant aux audits informatiques) ou Preuve.[réf. souhaitée]

Un cinquième est également utilisé : Non-répudiation, qui permet d’assurer les échanges entre l’envoyeur et le destinataire.[réf. souhaitée]

Menaces[modifier | modifier le code]

Les menaces à la sécurité de l'information se présentent sous différentes formes. Certaines des menaces les plus courantes sont les attaques de logiciels, le vol de propriété intellectuelle, le vol d'identité, le vol d'appareils ou d'informations, la destruction et l'extorsion d'informations.

Les virus[2] vers, les attaques de hameçonnage (phishing) et les chevaux de Troie sont quelques exemples courants d'attaques logicielles. Le vol de propriété intellectuelle est également un problème répandu pour nombreuses entreprises du secteur des technologies de l'information.

L'usurpation d'identité est une tentative d'obtenir les informations personnelles d'une autre personne en tant que quelqu'un d'autre ou de les utiliser pour obtenir des informations importantes via l'ingénierie sociale. Étant donné que la plupart des appareils sont aujourd'hui amovibles[3], le vol d'appareils ou d'informations est de plus en plus courant, est facile à voler. A mesure que la capacité des données augmente, le vol devient plus souhaitable.

Les gouvernements, les militaires, les entreprises, les institutions financières, les hôpitaux, les organisations à but non lucratif ont accumulé de grandes quantités d'informations confidentielles sur leurs employés, clients, produits. Si des informations confidentielles sur les entreprises clientes ou les conditions financières ou de nouvelles gammes de produits tombent entre les mains de concurrents ou de pirates informatiques, les entreprises et leurs clients peuvent subir des pertes financières importantes et irréparables et nuire à la réputation de l'entreprise. D'un point de vue commercial, un équilibre doit être trouvé entre la sécurité de l'information et le coût.

Pour les individus, la sécurité de l'information a un impact significatif sur la vie privée, et les perceptions des personnes à l'égard de la vie privée sont très différentes selon les cultures.

Les menaces les plus courantes de l'information sont les suivantes :

Logiciel malveillant (Malware)[modifier | modifier le code]

Un logiciel malveillant est un terme générique englobant ces différentes menaces informatiques visant toutes à nuire à un ordinateur, un téléphone, une caisse enregistreuse, etc. Peu importe sa forme, un logiciel malveillant peut corrompre, effacer ou voler les données des appareils et réseaux d’une entreprise. Il peut subtiliser des données confidentielles, comme les numéros de carte de crédit de clients.

Virus informatique (Computer Virus)[modifier | modifier le code]

De son côté, un virus informatique est un type de logiciel malveillant caché dans un logiciel légitime. Chaque fois qu’un utilisateur ouvre le logiciel infecté, il permet au virus de se propager. Il agit discrètement et se réplique à une vitesse fulgurante grâce aux échanges de données, que ce soit par une clé USB ou un réseau informatique.

Ver informatique (Computer Worm)[modifier | modifier le code]

Le virus ne doit pas être confondu avec un ver informatique, qui se répand sur le réseau Internet. Ce dernier peut s’installer sur un ordinateur à partir d’un courriel, par téléchargement d’un fichier ou par messagerie instantanée. Il est beaucoup plus courant que le virus informatique de nos jours.

Logiciel espion ou cheval de Troie (Spyware ou Trojan Horse)[modifier | modifier le code]

Les virus classiques ont cédé le pas depuis une dizaine d’années à un type particulier de logiciel malveillant, les logiciels espions ou chevaux de Troie. Ceux-ci infectent silencieusement l’ordinateur grâce à une application en apparence légitime. Une fois dans l’ordinateur, le logiciel peut faire ce qu’il veut : enregistrer les mots de passe ou accéder à la caméra pour enregistrer les moindres faits et gestes de l’utilisateur.

Pourriel (Spam)[modifier | modifier le code]

En tant que tels, les pourriels ne font pas partie des menaces informatiques, mais si on les ouvre ou si l’on clique sur leur lien, ils peuvent implanter un ver informatique sur l’ordinateur.

https://www.telus.com/fr/business/blog/securite-information-menaces-courantes

Sécurité au niveau européen[modifier | modifier le code]

Le règlement no 2016/679, dit également Règlement général sur la protection des données (RGPD) est entré en vigueur le .

L’ENISA, l'Agence de l’Union européenne pour la cybersécurité, est un centre d’expertise en matière de cybersécurité en Europe. Elle aide l’Union européenne (UE) et les États membres à être mieux équipés et préparés pour prévenir et détecter les problèmes de sécurité de l’information et y répondre.

Conformément aux règlements (UE) n° 460/2004 et n° 526/2013Rechercher les traductions disponibles de ce lien••• concernant l’Agence de l’Union européenne pour la cybersécurité, l'ENISA comporte un directeur exécutif, un conseil d'administration, un conseil exécutif et un groupe permanent des parties prenantes

Concernant le fonctionnement :

Les activités quotidiennes de l'Agence sont présentées dans son programme de travail annuel, qui est préparé après de vastes consultations avec le conseil d'administration et le bureau exécutif.

L'ENISA a également mis en place un solide réseau de parties prenantes dans les secteurs public et privé. Ce réseau est axé sur :

  • l'expertise: anticiper les défis émergents concernant la sécurité des réseaux et de l'information, en tenant compte de l'évolution de l'environnement numérique, et aider l'Europe à y faire face;
  • la politique: aider les États membres et les institutions de l'UE à élaborer et mettre en place les politiques nécessaires pour respecter les exigences juridiques et réglementaires concernant la sécurité des informations au niveau national;
  • la capacité: aider l'Europe à se doter des meilleures capacités qui soient en matière de sécurité des réseaux de l'information;
  • la coopération: améliorer la coopération entre les États membres et les organismes chargés de la sécurité des informations au niveau national.

L'ENISA travaille en étroite collaboration avec Europol et le Centre européen de lutte contre la cybercriminalité (EC3)EN sur des travaux de recherche et de communication communs. [2]

Notes et références[modifier | modifier le code]

  1. (en) Dennis Luciano et Gordon Prichett, « Cryptology: From Caesar Ciphers to Public-key Cryptosystems », The College Mathematics Journal, vol. 18, no 1,‎ , p. 2–17 (ISSN 0746-8342 et 1931-1346, DOI 10.1080/07468342.1987.11973000, lire en ligne, consulté le 14 novembre 2020)
  2. James M. Stewart et Darril Gibson, CISSP, John Wiley & Sons, , 936 p. (ISBN 978-1-118-46389-5, OCLC 796384204, lire en ligne).
  3. Eric A. Enge, « Are Links Still A Powerful Google-Ranking Factor? », International Journal of scientific research and management,‎ (ISSN 2321-3418, DOI 10.18535/ijsrm/v4i11.09, lire en ligne, consulté le 21 février 2020)

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Normes ISO[modifier | modifier le code]

Liens externes[modifier | modifier le code]