Definition

Sécurité de l'information (infosécurité, infosec)

La sécurité de l'information (infosécurité, infosec) est un ensemble de stratégies de gestion des processus et politiques visant à protéger, détecter, recenser et contrer les menaces ciblant les informations numériques ou non.
Parmi ses responsabilités, l'infosécurité doit établir un ensemble de processus d'entreprise qui protègeront les actifs informationnels indépendamment du format ou de l'état des informations (en transit, en cours de traitement ou stockées au repos).

Souvent, dans les grandes entreprises, une équipe est dédiée à la mise en œuvre et à la maintenance du programme d'infosécurité avec, à sa tête, un directeur de la sécurité des systèmes informatiques. Elle assume généralement la responsabilité du pilotage de la gestion des risques, processus qui consiste à évaluer en continu les vulnérabilités des actifs informationnels et les menaces qui pèsent sur eux, à décider des mesures de protection appropriées et à les appliquer. La valeur d'une entreprise réside dans ses actifs informationnels, leur sécurité est essentielle à son activité métier, à sa crédibilité à long terme et à la confiance de ses clients.

Principes de la sécurité de l'information

Les programmes d'infosécurité s'articulent autour des objectifs fondamentaux de la « triade CIA », selon l'acronyme anglais Confidentiality, Integrity, Availability : préserver la Confidentialité, l'Intégrité et la disponibilité (Availability) des systèmes d'information et des données de l'entreprise. Il s'agit de s'assurer que les informations sensibles ne sont divulguées qu'aux parties autorisées (Confidentialité), d'empêcher toute modification non autorisée des données (Intégrité) et de garantir que les données sont à la disposition des parties autorisées quand elles en ont besoin (disponibilité, Availability).

Le premier objectif, la confidentialité, nécessite généralement de recourir au chiffrement et à des clés de chiffrement. Le deuxième, l'intégrité, implique que les données restituées après lecture soient exactement les mêmes que celles qui avaient été écrites. (Il est parfois nécessaire d'envoyer les mêmes données à deux emplacements différents, pour se protéger d'une éventuelle corruption des données à l'un des deux endroits.) Le troisième axe est la disponibilité. L'objectif ici est de pouvoir utiliser rapidement les nouvelles données et de restaurer les données de sauvegarde dans un délai convenable.

Menaces et réactions

Les menaces qui ciblent les informations confidentielles et sensibles revêtent différentes formes : attaques par hameçonnage et programmes malveillants, usurpation d'identité et rançongiciels. Pour dissuader les pirates et limiter les vulnérabilités en plusieurs points, des contrôles de sécurité coordonnés sont mis en oeuvre selon une défense par paliers dans le cadre d'une stratégie en profondeur. On réduit ainsi au minimum les effets d'une attaque. Pour parer aux failles de sécurité, les équipes en charge doivent mettre en place un plan de réponse aux incidents. Elles devraient ainsi circonscrire et limiter les dégâts, en éliminer la cause et appliquer des mécanismes de défense actualisés.

Les processus et politiques de sécurité de l'information comprennent habituellement des mesures tant physiques que numériques visant à interdire toute utilisation, copie ou destruction non autorisée des données, ainsi que tout accès illicite à celles-ci. Parmi ces mesures, citons les sas d'accès, la gestion de clés de chiffrement, les systèmes de détection d'intrusions réseau, les stratégies de mot de passe et le respect des dispositions réglementaires. Un audit de sécurité peut permettre d'évaluer la capacité de l'organisation à assurer la sécurité de ses systèmes selon des critères établis.

La planification de la continuité des activités et de la reprise après sinistre, qui fait partie d'une stratégie globale en matière d'infosécurité, se compose de plusieurs couches.

Sécurité des informations ou sécurité réseau

Dans l'infrastructure informatique moderne de l'entreprise, les données sont autant susceptibles d'être en mouvement qu'au repos. C'est là qu'intervient la sécurité réseau. Si elle fait techniquement partie de la cybersécurité, la sécurité réseau concerne surtout l'infrastructure réseau de l'entreprise. Elle gère différents aspects notamment la sécurisation de la périphérie du réseau ; les mécanismes de transport des données (commutateurs, routeurs) ; et les dispositifs technologiques qui protègent les données à mesure qu'elles progressent d'un noeud à l'autre. La principale différence entre cybersécurité et sécurité réseau tient à la mise en oeuvre de la planification de la sécurité. Un plan de cybersécurité sans plan de sécurité réseau est incomplet ; mais un plan de sécurité réseau se suffit à lui-même.

Carrières dans l'infosécurité

Dans l'infosécurité, si les intitulés de postes varient, on citera les responsables de la sécurité informatique, directeurs de la sécurité des systèmes d'information (DSSI), ingénieurs sécurité informatique, analystes de la sécurité des informations, administrateurs sécurité des systèmes et consultants en sécurité informatique.

Certifications en infosécurité

Certified Ethical Hacker (CEH) : il s'agit d'une certification agnostique de « hacker éthique » de l'EC-Council, un des principaux organismes de certification. Cette certification de sécurité – qui valide les connaissances d'une personne en sécurité réseau – convient le mieux au rôle de testeur d'intrusion. Elle couvre plus de 270 technologies d'attaque. Pour se présenter à la certification, il faut avoir suivi la formation officielle de l'EC-Council ou d'un de ses partenaires, et cumuler au moins deux ans d'expérience dans la sécurité de l'information.

Certified Information Systems Auditor (CISA) : cette certification est proposée par l'ISACA, une association indépendante à but non lucratif qui porte la voix des professionnels de la sécurité de l'information, de l'assurance, de la gestion des risques et de la gouvernance. L'examen sanctionne le niveau de connaissances et de compétences des professionnels de la sécurité. Les critères d'admissibilité des candidats incluent cinq ans d'expérience professionnelle dans la sécurité, le contrôle ou l'audit des systèmes d'information.

Certified Information Security Manager (CISM) : la certification de haut niveau CISM proposée par l'ISACA confirme que le candidat possède les connaissances et l'expérience approfondies nécessaires au développement et à la gestion d'un programme de sécurité informatique d'entreprise. Elle s'adresse aux chefs de la sécurité informatique, aux responsables en devenir ou aux consultants informatiques qui accompagnent la gestion du programme de sécurité informatique.

GIAC Security Essentials (GSEC) : créée et gérée par l'organisme GIAC (Global Information Assurance Certification), cette certification s'adresse aux professionnels de la sécurité qui veulent démontrer leurs compétences pour des rôles pratiques en sécurité des systèmes informatiques. Les candidats doivent prouver leur maîtrise de la sécurité des informations au-delà des seuls concepts et de la seule terminologie.

Cette définition a été mise à jour en septembre 2019

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)