La sécurité des informations, ou « InfoSec », est la protection des informations importantes d'une organisation (fichiers et données numériques, documents papier, supports physiques, et même interventions humaines) contre l'accès, la divulgation, l'utilisation ou l'altération non autorisés. La sécurité des informations digitales, également appelée sécurité des données, fait l'objet de la plus grande attention de la part des professionnels de la sécurité des informations aujourd'hui, et c'est sur ce point que porte le présent article.
Les données alimentent une grande partie de l'économie mondiale. Les cybercriminels reconnaissent la valeur de ces données et les cyberattaques visant à voler des informations sensibles ou, dans le cas des ransomwares, à retenir des données en otage, sont devenues plus courantes, plus préjudiciables et plus coûteuses. Selon le « Cost of a Data Breach Report 2021 » d'IBM, le coût total moyen d'une violation de données a atteint un nouveau record de 4,24 millions de dollars en 2020-2021.
Une violation de données a de multiples conséquences pour la victime. Un temps d'interruption imprévu entraîne une perte d'activité. Une entreprise perd souvent des clients et subit des dommages importants et parfois irréparables à sa réputation lorsque les informations sensibles de ses clients sont exposées. Le vol de la propriété intellectuelle peut nuire à la rentabilité d'une entreprise et compromettre son avantage concurrentiel.
La victime d'une violation de données peut également se voir infliger des amendes réglementaires ou des sanctions juridiques. Les réglementations gouvernementales, telles que le règlement général sur la protection des données (RGPD), et les réglementations du secteur, telles que la loi sur la portabilité et la comptabilité de l'assurance maladie (HIPAA), obligent les entreprises à protéger les informations sensibles de leurs clients, faute de quoi elles s'exposent à de lourdes amendes. Equifax a accepté de payer au moins 575 millions de dollars d'amendes à la Federal Trade Commission (FTC), au Consumer Financial Protection Bureau (CFPB) et aux 50 États à la suite de sa violation de données de 2017 ; en octobre 2021, British Airways a été condamnée à une amende de 26 millions de dollars pour des violations du RGPD liées à une violation de données survenue en 2018.
Il n'est donc pas surprenant que les entreprises investissent plus que jamais dans les technologies et les personnes compétentes en matière de sécurité des informations. Gartner estime que les dépenses en technologies et services de sécurité des informations et de gestion des risques s'élèveront à 150,4 milliards de dollars en 2021, soit une hausse de 12,4 % par rapport à 2020. Les responsables de la sécurité des systèmes d'information (CISO), qui supervisent les efforts en matière de sécurité des systèmes d'information, font désormais partie intégrante de la direction des entreprises. En outre, les analystes de la sécurité des informations titulaires de certifications avancées en la matière, telles que la certification Certified Information Systems Security Professional (CISSP) de (ISC)², font l'objet d'une forte demande. Le Bureau of Labor Statistics prévoit que le nombre de postes d'analystes titulaires de ces certifications augmentera de 33 % d'ici à 2030.
La pratique de la sécurité des informations repose sur des principes vieux de plusieurs décennies et en constante évolution, qui fixent des normes pour la sécurité des systèmes d'information et l'atténuation des risques.
Introduite en 1977, la triade CIA vise à guider les organisations dans le choix des technologies, des politiques et des pratiques de protection de leurs systèmes d'information, à savoir le matériel, les logiciels et les personnes impliquées dans la production, le stockage, l'utilisation et l'échange de données au sein de l'infrastructure des technologies de l'information (TI) de l'entreprise. Les éléments de la triade :
Confidentialité : garantir que les parties ne peuvent pas accéder à des données auxquelles elles ne sont pas autorisées à accéder. La confidentialité définit un continuum, allant des collaborateurs privilégiés ayant accès à une grande partie des données de l'entreprise aux personnes extérieures autorisées à consulter uniquement les informations que le public est autorisé à voir ou qu'il a le droit de voir.
Intégrité : s'assurer que toutes les informations contenues dans les bases de données de l'entreprise sont complètes et exactes, et qu'elles n'ont pas été altérées. L'intégrité s'applique à tous les domaines, qu'il s'agisse d'empêcher des pirates de modifier intentionnellement des données ou d'empêcher des utilisateurs bien intentionnés de modifier intentionnellement ou non des données sans autorisation.
Disponibilité : veiller à ce que les utilisateurs puissent accéder aux informations auxquelles ils sont autorisés à accéder, lorsqu'ils en ont besoin. La disponibilité impose que les mesures et les politiques de sécurité des informations n'interfèrent jamais avec l'accès autorisé aux données.
Le processus permanent visant à assurer et à garantir la confidentialité, l'intégrité et la disponibilité des données au sein d'un système d'information est connu sous le nom d'« assurance de l'information ».
Les professionnels de la sécurité des informations appliquent les principes de la sécurité des informations aux systèmes d'information en créant des programmes de sécurité des informations. Il s'agit d'un ensemble de politiques de sécurité des informations, de protections et de stratégies visant à mettre en œuvre l'assurance de l'information.
La création d'un programme de sécurité des informations commence généralement par une évaluation des risques informatiques. En vérifiant chaque aspect du système d'information d'une entreprise, les professionnels de la sécurité des informations peuvent déterminer le risque exact auquel ils sont confrontés et choisir les mesures de sécurité et les technologies les plus appropriées pour atténuer les risques. Une évaluation des risques informatiques implique généralement :
l'identification des vulnérabilités. Une vulnérabilité est une faiblesse de l'infrastructure des technologies de l'information (TI) que des adversaires peuvent exploiter pour obtenir un accès non autorisé aux données. Par exemple, les pirates peuvent profiter de bogues dans les programmes informatiques pour introduire des logiciels ou des codes malveillants dans une application ou un service par ailleurs légitime.
Les utilisateurs peuvent également constituer des vulnérabilités dans un système d'information. Par exemple, les cybercriminels peuvent manipuler les utilisateurs pour qu'ils partagent des informations sensibles par le biais d'attaques de social engineering comme le phishing.
Les professionnels de la sécurité des informations ont souvent recours à des tests de pénétration, qui consistent à simuler une attaque sur leur propre système d'information, pour identifier ces vulnérabilités.
L'identification des menaces. Une menace est tout ce qui peut compromettre la confidentialité, l'intégrité ou la disponibilité d'un système d'information.
Une menace informatique est une menace qui exploite une vulnérabilité digitale. Par exemple, une attaque par déni de service (DoS) est une cybermenace au cours de laquelle des cybercriminels submergent de trafic une partie du système d'information d'une entreprise, provoquant son interruption.
Les menaces peuvent également être physiques. Les catastrophes naturelles, les agressions physiques ou armées, et même les défaillances systémiques du matériel informatique sont considérées comme des menaces pour le système d'information d'une entreprise.
Les services de sécurité des données d'IBM aident les organisations à mettre en place une stratégie de sécurité des données, à rechercher des données, à prévenir les pertes de données, à assurer la gouvernance de la sécurité des données et à surveiller la sécurité des bases de données.
Les services de sécurité des applications IBM transforment DevOps en DevSecOps en proposant des formations à la sécurité des applications, des services de modélisation des menaces applicatives, et bien plus encore.
Lancez-vous avec les solutions IBM de sécurité des données