Vous êtes ici : Accueil / Quoi de neuf ? / Actualités / L’importance de la sécurité de l’information et de sa mise en œuvre

L’importance de la sécurité de l’information et de sa mise en œuvre

Illustration de l'actualité - cliquer pour agrandir
Les menaces pour la sécurité des biens informationnels d’une organisation sont en constante évolution et les exigences de conformité (ex : RGPD, NIS) sont de plus en plus complexes. Les organisations, grandes et petites, doivent créer un programme de sécurité complet pour couvrir ces deux défis.

Sans politique de sécurité de l’information formalisée, il est impossible de coordonner et d'appliquer un programme de sécurité de manière transversale à l’organisation, ni de communiquer les mesures de sécurité à des tiers.

Qu’est-ce que la sécurité de l’information ?

En résumé, la sécurité de l'information est la somme des personnes, des processus et des technologies mis en œuvre au sein d'une organisation pour protéger les actifs informationnels. Elle empêche également la divulgation, la perturbation, l'accès, l'utilisation, la modification, etc. non autorisés de ces actifs d'information.
Il existe trois principes de sécurité de l'information, la fameuse triade CIA : la confidentialité (C), l'intégrité (I) et la disponibilité (A).
Ils sont définis comme suit :

  • Confidentialité - la protection des informations contre toute divulgation non autorisée
  • Intégrité - la protection des informations contre toute modification non autorisée et la garantie de l'authenticité, de l'exactitude, de la non-répudiation et de l'exhaustivité des informations
  • Disponibilité - la protection des informations contre la destruction non autorisée et la garantie que les données sont accessibles en cas de besoin

Sans sécurité de l'information, les biens informationnels d'une organisation, y compris toute propriété intellectuelle, sont susceptibles d'être compromis ou volés. Par conséquence, la confiance ou même les libertés et droits des citoyens ainsi que la réputation de l’organisation peuvent être mis à mal. Il est important de garder à l'esprit les principes de la triade de la CIA lors de l'élaboration des politiques de sécurité de l'information de l’organisation.

Comment mettre en œuvre la sécurité de l’information ?

La sécurité de l'information repose sur un ensemble de stratégies de gestion des processus et une politique ou des politiques et procédures écrites visant à protéger, détecter, recenser et contrer les menaces ciblant les informations indépendamment du format (numériques ou non) ou de l’état (en transit, en cours de traitement ou stockées au repos).

Qu'est-ce qu'une politique de sécurité de l'information ?

La politique de sécurité de l'information est matérialisée au moyen d’un document ou d’un set de documents qui marque l'engagement de la direction, définit les objectifs, l'organisation et les moyens mis en œuvre pour gérer la sécurité de l'information et guider les personnes qui travaillent avec des biens de l’information.
En vertu de l’ISO 27001/2, la politique de sécurité se matérialise de la manière suivante :

En haut de la pyramide se trouve la politique de sécurité des informations de l’entreprise. Au deuxième niveau se trouve les politiques de sécurité par thème ,avec les contrôles spécifiques afférents aux risques relatifs aux informations. Au troisième niveau, on trouve les normes de sécurité des informations. Enfin, la base de la pyramide concerne les procédures et directives, avec le matériel explicatif et incitatif à la sensibilisation et à la formation à la sécurité.

Pourquoi avoir une politique de sécurité de l’information est-elle importante ?

La politique de sécurité de l'information définit ce qui est exigé des employés d'une organisation du point de vue de la sécurité; elle traduit également l’engagement  de la direction d'une organisation pour ce sujet essentiel.

La politique de sécurité de l'information fournit aussi des orientations sur lesquelles un framework de contrôle peut être construit pour protéger l'organisation contre les menaces externes et internes; c'est est un mécanisme permettant de soutenir les responsabilités juridiques et éthiques d'une organisation.

Enfin, la politique de sécurité de l'information constitue un mécanisme permettant de tenir les individus responsables du respect des comportements attendus en matière de sécurité de l'information.

Mots-clés associés : Catégories :