Qu’est-ce que la sécurité de l’information (InfoSec) ?

Nous devons protéger les actifs d’information, qui peuvent inclure des données financières, confidentielles, personnelles ou sensibles. Ces actifs peuvent prendre la forme de fichiers et de données numériques, de documents papier, de supports physiques et même de conversations humaines. Tout au long du cycle de vie des données, l’InfoSec supervise des fonctions telles que l’infrastructure, les logiciels, les tests, l’audit et l’archivage.

Fondée sur des principes vieux de plusieurs décennies, la sécurité de l’information évolue continuellement pour protéger des environnements de plus en plus hybrides et multicloud dans un contexte de menaces en constante évolution. Compte tenu de la nature évolutive de ces menaces, plusieurs équipes doivent collaborer pour mettre à jour à la fois la technologie et les processus utilisés dans cette défense.

La sécurité des informations numériques, également appelée sécurité des données, est aujourd’hui celle qui accapare le plus les professionnels de la sécurité de l’information. Elle constitue l’objet de cet article.

Les termes sécurité de l’information, sécurité informatique, cybersécurité et sécurité des données sont souvent (à tort) utilisés de manière interchangeable. Bien que ces domaines se recoupent et s’influencent les uns les autres, ils diffèrent principalement par leur portée.

• La sécurité de l’information est un terme générique qui désigne les efforts déployés par une organisation pour protéger ses informations. Elle comprend la sécurité des actifs informatiques physiques, la sécurité des points de terminaison, le chiffrement des données, la sécurité des réseaux, et plus encore.

• La sécurité informatique s’occupe également de la protection des actifs informatiques physiques et numériques et des centres de données, mais elle n’inclut pas la protection du stockage des dossiers papier et d’autres supports. Elle se concentre sur les actifs technologiques plutôt que sur l’information elle-même.

• La cybersécurité se concentre sur la sécurisation des systèmes d’information numériques. L’objectif est de contribuer à la protection des données et des actifs numériques contre les cybermenaces. Bien qu’il s’agisse d’une mission titanesque, la cybersécurité a un périmètre restreint, car elle ne concerne pas la protection des données papier ou non numériques.

• La sécurité des données vise à protéger les informations numériques contre tout accès non autorisé, corruption ou vol tout au long de leur cycle de vie. Elle comprend la sécurité physique du matériel et des périphériques de stockage, ainsi que les contrôles administratifs et les contrôles d’accès. Elle couvre également la sécurité logique des applications logicielles, et les politiques et les procédures organisationnelles.

Les données alimentent une grande partie de l’économie mondiale, et les cybercriminels connaissent leur valeur. Les cyberattaques qui visent à voler des informations sensibles ou, dans le cas des ransomwares, à prendre en otage des données, sont devenues plus courantes, plus préjudiciables et plus coûteuses. Les pratiques et les principes de l’InfoSec peuvent contribuer à sécuriser les données face à ces menaces.

Selon le Rapport sur le coût d’une violation de données d’IBM, le coût moyen d’une violation de données à l’échelle mondiale est de 4,44 millions de dollars.

Une violation de données a de multiples conséquences pour la victime. Un temps d’interruption imprévu entraîne une perte d’activité. Une entreprise perd souvent des clients, et sa réputation subit des dommages importants, parfois irréparables, lorsque les informations sensibles de ses clients sont exposées. Le vol de la propriété intellectuelle peut nuire à la rentabilité d’une entreprise et compromettre son avantage concurrentiel.

La victime d’une violation de données peut également s’exposer à des amendes réglementaires ou à des sanctions juridiques. Les réglementations gouvernementales, telles que le Règlement général sur la protection des données (RGPD), et les réglementations sectorielles, telles que la loi HIPAA (« Health Insurance Portability and Accountability Act »), exigent des entreprises qu’elles protègent les informations sensibles de leurs clients. Le non-respect de ces exigences peut entraîner de lourdes amendes.

Les entreprises investissent dans les technologies de la sécurité de l’information et tentent d’attirer les talents de ce domaine. Selon le Rapport sur le coût d’une violation de données de 2023, 49 % des entreprises prévoient d’augmenter leurs investissements de sécurité après une violation.

Les principaux domaines identifiés pour des investissements supplémentaires sont la planification et les tests de réponse aux incidents, ainsi que les technologies de détection et de réponse aux menaces. Les entreprises qui ont réalisé d’importants investissements dans la sécurité de l’IA et l’automatisation ont enregistré une baisse de 820 000 dollars des coûts liés aux violations de données par rapport à la moyenne.

Les responsables de la sécurité des systèmes d’information (RSSI), qui supervisent les efforts de sécurité pour les systèmes d’information, font désormais partie intégrante de la direction des entreprises.

En outre, les analystes de la sécurité de l’information titulaires de certifications reconnues, comme la Certified Information Systems Security Professional (CISSP) de l’ISC2, sont particulièrement recherchés. Le Bureau of Labor Statistics prévoit que l’emploi des analystes de la sécurité de l’information augmentera de 32 % d’ici 2032.¹

Les pratiques de sécurité de l’information reposent sur un ensemble de principes vieux de plusieurs décennies, mais qui évoluent sans cesse :

• La triade CIA
• L’assurance de l’information
• La non-répudiation

Proposée pour la première fois par le National Institute of Standards and Technology (NIST) en 1977, la triade « CIA » est destinée à guider les organisations dans le choix des technologies, des politiques et des pratiques dédiées à la protection de leurs systèmes d’information. Les éléments de la triade CIA comprennent :

• Confidentialité
• Intégrité (« I » pour « Integrity »)
• Disponibilité

La confidentialité consiste à s’assurer que les parties ne peuvent pas accéder à des données pour lesquelles elles n’ont aucune autorisation d’accès.

La confidentialité définit un continuum d’utilisateurs, qu’il s’agisse de personnes privilégiées ayant accès à la plupart des données de l’entreprise ou de personnes extérieures autorisées à consulter uniquement les informations accessibles au public.

Les informations personnelles doivent rester confidentielles. Les données sensibles ont besoin d’un traitement particulier. Si une personne non autorisée obtient un mot de passe pour accéder à des données protégées, il s’agit d’une violation de confidentialité.

L’intégrité consiste à s’assurer que toutes les informations contenues dans les bases de données de l’entreprise sont complètes et exactes.

Les efforts d’intégrité visent à empêcher les gens d’altérer les données, par exemple par des ajouts, des modifications ou des suppressions non autorisés. L’intégrité des données ne tolère ni les personnes mal intentionnées qui modifient de façon volontaire les données, ni les personnes bien intentionnées qui modifient les données de manière non autorisée.

La disponibilité consiste à s’assurer que les utilisateurs peuvent accéder aux informations pour lesquelles ils disposent d’une autorisation lorsqu’ils en ont besoin.

Le principe de disponibilité exclut que les mesures et les politiques de sécurité de l’information entravent l’accès autorisé aux données. La disponibilité dépend souvent de vérifications simples, comme s’assurer de la robustesse du matériel et des logiciels pour éviter que les sites d’une organisation ne tombent en panne.

Le processus permanent visant à assurer la confidentialité, l’intégrité et la disponibilité des données au sein d’un système d’information est connu sous le nom d’« assurance de l’information ».

La non-répudiation signifie qu’un utilisateur ne peut pas nier (ou encore « répudier ») avoir effectué une transaction, comme modifier des données ou envoyer un message, parce que l’utilisateur a dû passer par une étape d’authentification pour effectuer ladite transaction.

Bien qu’elle ne fasse pas partie de la triade CIA à proprement parler, la non-répudiation combine des aspects liés à la confidentialité et à l’intégrité des informations. La non-répudiation implique de s’assurer que seuls les utilisateurs autorisés travaillent avec les données, et qu’ils ne peuvent les utiliser ou les modifier que de la manière autorisée.

Les professionnels de la sécurité de l’information appliquent les principes de l’InfoSec aux systèmes d’information en créant des programmes de sécurité de l’information. Ces programmes sont des recueils de politiques, de protections et de plans de sécurité de l’information destinés à mettre en œuvre l’assurance de l’information.

Les éléments essentiels d’un programme de sécurité de l’information peuvent être les suivants :

• Évaluation des risques
• Identification des vulnérabilités
• L’identification des menaces
• La planification de la réponse aux incidents

Une évaluation des risques de sécurité des informations permet d’auditer tous les aspects du système d’information d’une entreprise. Cette évaluation permet aux professionnels de la sécurité de l’information de comprendre les risques exacts auxquels ils sont confrontés et de choisir les mesures de sécurité et les technologies les plus appropriées pour atténuer les risques.

Une vulnérabilité est une faiblesse de l’infrastructure des technologies de l’information (TI) que des adversaires peuvent exploiter pour obtenir un accès non autorisé aux données. Par exemple, les pirates peuvent profiter de bugs dans les programmes informatiques pour introduire des logiciels ou des codes malveillants dans une application ou un service par ailleurs légitime.

Les utilisateurs peuvent également constituer des vulnérabilités dans un système d’information. Par exemple, les cybercriminels peuvent, au moyen d’attaques par ingénierie sociale telles que le phishing, manipuler les utilisateurs pour les pousser à partager des informations sensibles.

Une menace est tout ce qui peut mettre en danger la confidentialité, l’intégrité ou la disponibilité d’un système d’information. 

Une cybermenace est une menace qui exploite une vulnérabilité digitale. Par exemple, une attaque par déni de service (DoS) est une cybermenace au cours de laquelle des cybercriminels injectent de force du trafic dans une partie du système d’information d’une entreprise dans le but de le faire planter. 

Les menaces peuvent également être physiques. Les catastrophes naturelles, les agressions physiques ou armées, ainsi que les pannes matérielles systémiques, sont considérées comme des menaces pour le système d’information d’une entreprise.

Un plan de réponse aux incidents (« incident response plan » ou IRP) guide généralement les efforts d’une organisation dans le processus de réponse aux incidents.

Les équipes de réponse aux incidents de sécurité informatique (« computer security incident response teams » ou CSIRT) créent et exécutent souvent des IRP avec la participation de parties prenantes provenant de toute l’entreprise. Les membres de l’équipe CSIRT peuvent inclure le responsable de la sécurité des systèmes d’information (RSSI), le directeur de l’IA (« chief AI officer » ou CAIO), le centre des opérations de sécurité (SOC), le personnel informatique et des représentants des services juridiques, de gestion des risques et d’autres disciplines non techniques.

Les IRP détaillent les mesures d’atténuation prises par une organisation lorsqu’une menace importante est détectée. Bien que les IRP varient en fonction des organisations et des menaces contre lesquelles elles veulent se défendre, ils présentent souvent des étapes en commun :

• Constituer l’équipe de sécurité (virtuellement ou en personne).
  
  
• Vérifier la source de la menace.
  
  
• Agir pour contenir la menace et y mettre fin dès que possible.
  
  
• Déterminer les dommages, le cas échéant.
  
  
• Informer les parties concernées au sein de l’organisation, les parties prenantes et les partenaires stratégiques.

Les programmes de sécurité de l’information utilisent différents outils et techniques pour faire face à des menaces spécifiques. Les outils et les techniques d’InfoSec les plus courants sont les suivants :

• Cryptographie
• La prévention des pertes de données (DLP)
• Détection et réponse des terminaux (EDR)
• Pare-feux
• Système de détection des intrusions (« intrusion detection system » ou IDS) et système de prévention des intrusions (« intrusion prevention system » ou IPS)
• Systèmes de gestion de la sécurité de l’information (« Information security management systems » ou ISMS)
• Gestion des informations et des événements liés à la sécurité (SIEM)
• Centres des opérations de sécurité (« security operations centers » ou SOC)
• Mesures d’authentification forte
• Renseignements sur les menaces
  
• Analyse du comportement des utilisateurs et des entités (UEBA)

La cryptographie utilise des algorithmes pour masquer les informations afin que seules les personnes ayant la permission et la capacité de les décrypter puissent les lire.

Les stratégies et les outils de DLP (« data loss prevention ») suivent l’utilisation et le mouvement des données sur un réseau et appliquent des politiques de sécurité granulaires pour prévenir les fuites et les pertes de données.

Les solutions EDR (« endpoint detection and response ») surveillent en permanence les fichiers et les applications sur chaque appareil. Plus particulièrement, ils recherchent toute activité suspecte qui peut indiquer un logiciel malveillant, un ransomware ou une menace avancée.

Un pare-feu est un logiciel ou un élément matériel qui empêche le trafic suspect d’entrer ou de sortir d’un réseau tout en laissant passer le trafic légitime. Les pare-feux peuvent être déployés à la périphérie d’un réseau ou utilisés en interne afin de diviser ceux de plus grande taille en sous-réseaux plus petits. De cette manière, si une partie est compromise, les pirates informatiques ne peuvent pas accéder au reste du réseau.

Un IDS (« intrusion detection system ») est un outil de sécurité réseau qui surveille le trafic entrant et les appareils pour détecter les activités suspectes ou les violations des politiques de sécurité. Un IPS (« intrusion prevention system ») surveille le trafic réseau pour détecter les menaces potentielles et les bloque automatiquement. De nombreuses organisations utilisent un système combiné appelé système de détection et de prévention des intrusions (« intrusion detection and prevention system » ou IDPS).

Un ISMS comprend des lignes directrices et des processus qui aident les organisations à protéger leurs données sensibles et à faire face aux violations de données. La définition de lignes directrices contribue également à la continuité en cas de rotation importante du personnel. La norme ISO/IEC 27001 est un ISMS largement utilisé.

Les systèmes SIEM aident à détecter les anomalies de comportement des utilisateurs et utilisent l’intelligence artificielle (IA) pour automatiser de nombreux processus manuels associés à la détection des menaces et à la réponse aux incidents.

Un SOC unifie et coordonne toutes les technologies et les opérations de cybersécurité sous la direction d’une équipe de professionnels de la sécurité informatique, qui se consacre à la surveillance de la sécurité de l’infrastructure informatique 24 heures sur 24.

L’authentification à deux facteurs (« two-factor authentication » ou 2FA) et l’authentification à étapes (« multifactor authentication » ou MFA) sont des méthodes de vérification d’identité qui obligent les utilisateurs à fournir plusieurs éléments de preuve pour prouver leur identité et accéder à des ressources sensibles.

Les renseignements sur les menaces aident les équipes de sécurité à être plus proactives en leur permettant de prendre des mesures efficaces et basées sur les données pour prévenir les cyberattaques avant qu’elles ne se produisent.

L’UEBA est un type de logiciel de sécurité qui utilise l’analyse comportementale et des algorithmes de machine learning pour identifier les comportements anormaux et potentiellement dangereux des utilisateurs et des appareils.

Les organisations sont confrontées à une longue liste de menaces potentielles qui pèsent sur la sécurité de l’information.

• Cyberattaques
• Erreur commise par un employé
• Sécurité inefficace des points de terminaison
• Menaces internes
• Erreurs de configuration
• Ingénierie sociale

Ces attaques peuvent tenter de compromettre les données d’une organisation à l’aide de nombreux vecteurs et comprennent notamment les attaques par menace persistante avancée (« advanced persistent threat » ou APT), les botnets (réseaux de robots), le déni de service distribué (« distributed denial-of-service » ou DDoS), les attaques par téléchargement « drive-by » (qui téléchargent automatiquement un code malveillant),  les logiciels malveillants, le phishing, les ransomwares, les virus et les vers.

Les gens peuvent perdre un équipement mobile qui contient des informations sensibles, accéder à des sites Web dangereux sur un équipement qui appartient à l’entreprise ou utiliser des mots de passe faciles à déchiffrer.

N’importe quel ordinateur portable, appareil mobile ou PC peut constituer un point d’entrée dans le système informatique d’une entreprise si des solutions antivirus ou de sécurité des terminaux n’ont pas été mises en place.

Il existe deux types de menaces internes. 

• Les initiés malveillants sont des employés, des partenaires ou d’autres utilisateurs autorisés qui compromettent intentionnellement les informations d’une organisation à des fins personnelles ou par pure méchanceté.
  
  
• Les initiés négligents sont des utilisateurs autorisés qui compromettent involontairement la sécurité en ne respectant pas les meilleures pratiques.
  

Selon le rapport X-Force Threat Intelligence Index , une importante part des incidents de sécurité impliquent une utilisation malveillante d’outils légitimes. Les incidents comprennent le vol d’identifiants, la reconnaissance, l’accès à distance et l’exfiltration de données.

Les entreprises s’appuient sur diverses plateformes et outils informatiques, notamment des options de stockage des données dans le cloud, l’infrastructure en tant que service (IaaS), des intégrations de logiciel en tant que service (SaaS) et des applications Web provenant de divers fournisseurs. La configuration incorrecte de l’un de ces actifs peut entraîner des risques de sécurité.

De plus, les modifications apportées par le fournisseur ou effectuées en interne peuvent entraîner une « dérive de configuration », où les paramètres valides deviennent obsolètes.

Le rapport X-Force Threat Intelligence Index a indiqué que lors des interventions de test d’intrusion , le risque d’application Web le plus observé dans les environnements client était une mauvaise configuration de la sécurité, qui représentait 30 % du total.

Les attaques par ingénierie sociale incitent les employés à divulguer des informations sensibles ou des mots de passe, ce qui ouvre ensuite la voie à des actes malveillants.

Il peut également arriver qu’en essayant de promouvoir une organisation par le biais de médias sociaux, les employés divulguent par erreur une trop grande quantité d’informations personnelles ou professionnelles, qui peuvent ensuite être utilisées par des pirates.

Un programme d’InfoSec solide peut aider l’ensemble des équipes d’une organisation pour :

• Continuité des opérations
• Conformité
• Économies de coûts
• Plus grande efficacité
• Protection de la réputation
• Atténuation des risques

Outre les menaces directes à la sécurité des informations, les organisations sont confrontées à de multiples défis lors de l’élaboration et de la gestion d’une stratégie et d’un système InfoSec robustes.

• Complaisance
• Complexité
• Connexions mondiales
• Manque de flexibilité
• Intégration tierce

Avec un nouveau système en place, on peut avoir tendance à se laisser aller et penser que la tâche est accomplie. Il faut savoir que pour s’adapter aux nouvelles mesures de sécurité, les techniques de piratage s’améliorent constamment. La maintenance et la sécurisation des données sont des processus qui ne s’arrêtent jamais, et les contrôles de sécurité doivent être constamment améliorés.

L’environnement technologique évoluant constamment, il a besoin d’une infrastructure sophistiquée et d’une équipe informatique parfaitement compétente pour gérer toutes les complexités qui se présentent. Celles-ci incluent par exemple l’échange sécurisé d’informations avec l’Internet des objets (IdO) et tous les appareils mobiles.

La complexité peut être chronophage : certaines équipes informatiques estiment que leur principal effort consiste à reconfigurer et à maintenir en permanence leur système de sécurité.

Les entreprises du monde entier peuvent utiliser des systèmes informatiques différents, avoir des niveaux de sécurité de l’information différents et respecter des réglementations différentes. Tous ces facteurs rendent l’échange sécurisé de données à l’échelle mondiale de plus en plus difficile.

Le verrouillage de toutes les informations peut empêcher une entreprise d’aller de l’avant. Au sein d’une organisation, le difficile équilibre consiste à avoir un flux de données efficace tout en maintenant la sécurité des données et en les utilisant de manière appropriée.

En fonction de leur niveau de sécurité, l’intégration des systèmes d’information avec un fournisseur tiers ou un autre partenaire commercial peut s’avérer difficile ou créer de nouveaux risques de sécurité.