Sécurité de l’information ou sécurité informatique ?

Computer Security contre Information security

Cet article est traduit de «  Information security or IT security? » écrit par Dejan Kosutic (www.iso27001standards.com/blog/) qui m’a aimablement permis de publier cette traduction que j’ai faite pour lui.

Ecrit en 2010, il a été revu de ce mois d’aout 2014 pour prendre en compte la version 2013 de la norme ISO27001.
C’est lui qui s’exprime derrière le ‘je’.

 

On pourrait croire que ces termes sont synonymes – après tout, la sécurité de l’information ne concerne-t-elle pas surtout les ordinateurs ?

Pas exactement. Le fait fondamental est le suivant : vous pouvez avoir des mesures de sécurité informatiques parfaites mais un seul acte malveillant réalisé, par exemple par un administrateur système, peut mettre tout le système informatique en panne. Ce risque n’a rien à voir avec les ordinateurs, mais avec les personnes, les processus, la supervision, etc.

De plus, les informations importantes (1) pourraient bien ne pas se trouver sous une forme digitale. Elles peuvent être sur papier : un contrat important signé avec votre plus gros client, des notes personnelles du directeur général, le mot de passe administrateur mis à l’abri dans un coffre (2).

Donc, comme je le dis toujours à mes clients : la sécurité informatique c’est 50% de sécurité de l’information parce que la sécurité de l’information comprend également la sécurité physique, ma gestion des ressources humaines, la protection légale et juridique, l’organisation, les processus etc. (3) L’objet de la sécurité de l’information est de construire un système qui tienne compte de tous les risques possibles pour la sécurité de l’information (liés à l’informatique ou non) et de mettre en œuvre des contrôles exhaustifs qui réduisent toutes les sortes de risques inacceptables.

Cette approche intégrée de la sécurité de l’information est bien définie dans la norme ISO 27001, la norme internationale majeure pour le management (4) de la sécurité de l’information. En bref, la norme exige une évaluation des risques sur tous les actifs de l’organisation (y compris matériel, logiciel, documentation, personnel, fournisseurs, partenaires, etc.) et de choisir les contrôles acceptables pour réduire ces risques.

ISO27001 propose 114 contrôles dans son annexe A. J’ai réalisé une brève analyse des contrôles et les résultats sont les suivants :

  • contrôles liés à l’informatique : 36.84%
  • contrôles liés à l’organisation et à la documentation : 35.96%
  • contrôles de sécurité physique (et environnementale) : 13.16%
  • protection légale : 4.39%
  • contrôles relatifs aux relations avec les fournisseurs et les clients : 4.39%
  • contrôles portant sur la gestion des ressources humaines : 5.26%

Qu’est-ce que cela signifie en termes de mise en œuvre de la sécurité de l’information / ISO27001 ?

Ce genre de projet ne devrait pas être vu comme un projet informatique, car toutes les parties de l’organisation pourraient ne pas vouloir participer (ou se sentir concernées). Il faut le voir comme un projet d’entreprise dans lequel les personnes concernées des différents départements devraient être impliquées – direction générale, personnel informatique, experts légaux, responsables des ressources humaines, personnel responsable de la sécurité physique, le ‘métier’ de l’organisation, etc. Sans cette approche vous resterez focalisé sur la sécurité informatique et cela ne vous protègera pas contre les plus grands risques.

Vous pouvez également suivre notre webinaire ISO 27001 Foundations Part 3 : Annex A overview.

Les chiffres dans le texte et les notes ci-dessous me sont propres.

(1)  Entendez ‘de valeur’ voir mon article’ : http://info-attitude.com/comment-mesurer-valeur-information-1/

(2)  Sans oublier la forme ‘orale’

(3)  Voyez mon article ‘Les 8 domaines de la sécurité de l’information’ : http://info-attitude.com/8-domaines-securite-information/

(4)  Je préfère traduire ‘management’ par ‘management’ car le terme ‘gestion’ est trop souvent pris dans un sens restrictif.

Vous trouverez la version originale de ce texte ici: http://www.iso27001standard.com/blog/2010/03/01/information-security-or-it-security/?utm_source=infusionsoft&utm_medium=follow-up-sequence&utm_campaign=ebook&inf_contact_key=06b67a3b62fe871d30864a03069a25ff2bcad3d34a12ccca403b79c7ea1122b6

A bientôt, plus en sécurité avec vos informations…

Jean-Luc

Crédit photo: Dreamstime

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *