Skip to content

Qu’est ce que la sécurité de l’information ?

Avec l’émergence et l’évolution des outils informatiques et leur présence marquée dans les entreprises de toutes tailles, on entend de plus en plus parler de la sécurité de l’information. On attribue souvent à ce terme plus ou moins vague un ensemble de principe qui  sont souvent mal connus et/ou pris en compte. Dans cet article, nous allons essayer de déterminer et détailler ce qu’est la sécurité de l’information.

I. Système d’information et système informatique

Il est courant de confondre système d’information et système informatique, et par extension, leur sécurité. Il ne faut pas oublier que l’un est l’outil de l’autre. Le système d’information est généralement défini comme un groupement d’éléments et de ressources structurés qui permettent la transmission, l’interprétation et le stockage de données. Il faut donc comprendre par là que cela permet à des informations d’être acheminées d’un point A à un point B, que l’expéditeur et le destinataire se comprennent et que l’information soit ensuite conservée.

Le système informatique est en réalité celui qui remplit encore le mieux ces missions par le biais d’éléments électroniques et de la télécommunication qui en sont ses composants. Alors qu’autrefois on utilisait des éléments naturels, des matériaux (comme du papier, de la pierre) pour transmettre et conserver l’information et des animaux pour les transmettre (pigeons voyageurs, messagers sur des chevaux), nous utilisons aujourd’hui l’informatique et les systèmes informatiques pour réaliser ces missions. Le fait que ce soit l’outil le plus performant pour réaliser cette tâche fait qu’aujourd’hui, on parle souvent du systèmes d’information pour parler de système informatique et inversement. C’est pour cette raison que nous parlons aujourd’hui de sécurité du système d’information, le système d’information étant majoritairement composé du système informatique mais pas uniquement.

II. Pourquoi sécuriser l’information ?

L’information est aujourd’hui la sève de l’entreprise. C’est ce qui fait à la fois sa force et son existence. Fichiers, bases de données, méthodes de travail et de fabrication, fiches des salariés et informations industrielles sont autant d’informations qui composent la structure et la base d’une entreprise. Il s’agit là son capital intellectuel, ou plutôt capital informationnel. Toute perte d’information peut porter un coup fatal à une entreprise ou même à une nation.

Si ces informations venaient à être perdues, volées ou à tomber dans les mains d’une autre entreprise, la donnée n’aurait plus de raison d’exister car elle ne serait plus exclusive. L’information a aujourd’hui de la valeur de par son côté unique et exclusif pour une entreprise. Il est donc dans l’intérêt de l’entreprise de protéger son patrimoine informationnel.

III. Outils de la sécurité de l’information

Il faut, pour définir la sécurité de l’information, étudier ses deux composants :

  • L’information, qui peut être présentée quelque soit sa forme de stockage, de traitement ou de transmission. On peut ici parler d’un bout de papier, d’un échange oral, d’un classeur, d’une structure numérique couplée d’une méthode de transmission par les télécommunications …
  • La sécurité, évaluée par différents critères définis qui permettent de qualifier la sûreté d’une information.

Le RFC 4949 nommé « Internet Security Glossary version 2 » sortie en août 2007, version mise à jour du RFC 2828 définit ces deux éléments comme suivant :

information security (INFOSEC) (N) Mesures qui permettent d’implémenter et d’assurer la sécurité des systèmes d’information incluant le système informatique (« computers systems ») et les systèmes de communication.

information system (I) Un ensemble organisé de ressources, de procédures informatique et de télécommunications (incluant équipements et services) qui permettent de créer, collecter, enregistrer, traiter, stocker, retrouver, afficher, contrôler ou de disposer d’informations afin d’accomplir une action spécifique.

Source : RFC 4949 « Internet Security Glossary version 2 », août 2007

La sécurité peut en effet être qualifiée par différents éléments. On parle ici de D.I.C (ou C.I.A en anglais) qui sont trois termes permettant de fixer les lignes directrices dont se constitue la sécurité de l’information :

  • Disponibilité (Availability) : La disponibilité est le fait de garantir que la donnée est accessible (lisible, consultable). Une information disponible a une valeur et représente une plus-value et une force pour l’entreprise. Une information qui n’est pas ou plus consultable au moment où nous en avons besoin ne représente rien et revient au même point que la non possession de l’information.
  • Intégrité (Integrity) : L’intégrité garantit que l’information ne subit aucune modification de son fond ou sa forme lors de sa transmission, de son traitement ou de son stockage. Plus généralement, c’est la garantie du fait que l’information est « vrai » (dans le sens « non faussée » par un tiers). On cherche donc à être certain que l’information soit lisible dans son exactitude et également dans son intégralité.
  • Confidentialité (Confidentiality) : La confidentialité est le fait que l’information soit lue et consultée uniquement par ceux qui en ont le droit et l’accès. On entend par confidentialité le fait de restreindre la diffusion de l’information à des destinataires qui doivent être identifiés, le but principal étant que l’information garde sa valeur en ne se retrouvant pas aux yeux de tous.
Les composants de la sécurité : Disponibilité, Intégrité, Confidentialité
Les composants de la sécurité : Disponibilité, Intégrité, Confidentialité

Ces trois termes regroupent donc les fondements de la sécurité de l’information. Mais avec la prédominance des systèmes informatisés, d’autres termes viennent compléter ces fondations, cela vient du fait que les systèmes informatiques permettent aujourd’hui de combler des exigences supplémentaires et que ce sont les outils les plus performants pour gérer l’information :

  • Non répudiation : La non répudiation permet d’assurer deux ou plusieurs membres d’un échange ou d’une communication que l’un comme l’autre ont bien envoyé et reçu l’information dans son intégralité. Cela permet le plus souvent d’éviter d’avoir des situations où dans lesquelles nous ne savons pas réellement si l’information a bien été transmise dans son intégralité.
  • Traçabilité : La traçabilité d’une information représente le fait de savoir d’où elle vient, par où elle est passée et où elle a terminé sa route.
  • Identification / authentification : Un article entier pourrait être dédié à la différence entre ces deux termes. Mais la sécurité de l’information et de son accès doit également passer par l’identification de ceux qui y accèdent et également leur authentification (le fait qu’une personne prouve qu’elle soit bien celle qu’elle dit être). Cela permet de garantir la confidentialité de l’information dans un contexte où son accès est restreint.

On parle donc de la sécurité du système d’information lorsque l’on doit protéger le système qui permet de gérer (transmettre, traiter et stocker) l’information. Aujourd’hui, c’est en grande partie le système informatique (mais pas uniquement) qui s’en charge. Les éléments listés ci-dessus ont donc pour fonction d’éviter des dangers pour l’entreprise comme :

  • La fuite de données par des éléments internes à l’entreprise et qui correspond à un vol de l’information ainsi qu’à une diffusion auprès d’un tiers qui, normalement, ne doit pas y avoir accès.
  • L’espionnage, qui peut être fait dans le but de voler les informations que possède l’entreprise, tel des secrets de fabrication industrielle, des méthodes de travail, un savoir faire particulier…
  • Le sabotage, qui peut être fait dans le but de détruire ou de fausser des informations que possède l’entreprise.

On peut dès lors aborder des situations plus techniques et plus spécifiques à un système informatique comme :

  • Le contrôle de l’accès à l’information ou à une ressource
  • La journalisation des événements qui permettent la non répudiation et la traçabilité des actions et événements
  • L’identification des hommes et des machines
  • L’authentification des éléments identifiés auprès des services d’authentification

Pour avoir une approche plus réelle de l’intégration de la sécurité de l’information dans un système d’information « traditionnel« , c’est à dire dans un système informatique, on peut suivre les réflexions suivantes (qui ne sont que de simples exemples) :

  • Traçabilité -> Journalisation -> Gestionnaire de logs, Gestionnaire d’événements -> Sarg, Calamaris, auditd, alertes sur événements du journal …
  • Confidentialité -> Contrôle des accès -> Gestion des droits -> GPO, umask, droits Linux, droits de partages …
  • Disponibilité -> Redondance, Fail-Over, Load Balancing -> Matériel, Logiciel -> RAID, Heartbeat, LACP, HSRP …
  • Intégrité -> Vérification des erreurs -> Méthode de hash, -> CRC, empreinte MD5, PGP, GPG …

En partant des principes abordés ci-dessus, le responsable de la sécurité du système d’information (RSSI) doit être un élément proactif de l’entreprise qui va utiliser des outils d’analyse et de qualification des risques en classifiant d’une part leur gravité (en terme d’impact et d’effet) et également en terme de probabilité que ceux-ci se produisent. Il peut pour cela s’aider de méthodes structurées comme :

  • E.B.I.O.S (Expression des Besoins et Identification des Objectifs de Sécurité) : Méthode créée et maintenue par la DCSSI (ancêtre de l’ANSSI) en 1995.
  • M.E.H.A.R.I (MEthode Harmonisée d’Analyse des RIsques) : Méthode développée par le CLUSIF en 2010.
  • O.C.T.A.V.E (Operationally Critical Threat, Asset, and Vulnerability Evaluation) : Méthode développée par l’université de Canergie Mellon aux États-Unis en 1999.

Ces méthodes permettent donc de qualifier le risque  et l’impact d’une attaque ou d’un événement sur le système d’information et permettent de structurer, penser et mettre en œuvre une sécurité qui lui est adaptée. Nous aurons l’occasion de détailler ces méthodes et leurs fonctions précises dans d’autres billets de ce blog.

Nous pouvons donc conclure ce premier billet par le fait que le système d’information et sa sécurité est plus un ensemble d’éléments et de concepts à intégrer dans une politique globale de sécurité qui amènera à des éléments concrets et techniques qui seront mis en place par la suite. C’est le rôle RSSI qui, le plus souvent, passe par la construction d’un plan de sécurité du système d’information. Il existe pour cela des méthodes structurées qui ont été pensées afin de guider les RSSI et DSI dans leur démarche de sécurisation. Il faut enfin terminer en rappelant à nouveau que le système informatique n’est qu’un composant du système d’information et ne le représente pas dans son ensemble. La sécurité de l’information est donc un principe de mise en place de processus dans le but de mettre en sécurité, de protéger, des données lors de leur consultation, de leur traitement, de leur diffusion. Elle ne se limite pas au système informatique qui en est un des composants, l’information n’est pas forcément numérisée et elle doit tout de même être sécurisée.

Partager :
Published inArticlesComprendre l'Infosec

One Comment

  1. Bonjour, Merci de ces rappels qui ne sont jamais inutiles 🙂
    Dans le cadre des référentiels SSI (et en particulier PSI et PSSI) ces éléments correspondent en effet aux concepts classiques, mais si vous prenez les entités correspondantes d’une entreprise par exemple (système informatique, système d’information), vous ne devriez pas parler de sécurité de l’information sans imaginer couvrir un périmètre beaucoup plus étendu que l’entreprise elle-même : vous devriez recourir au concept de guerre de l’information.
    De mon point de vue, viser la sécurité de l’information d’une entreprise implique la prise en compte des informations externes, sans contrôle direct de l’entreprise, une « sécurité » encore à inventer 🙂
    Cordialement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *