Sécurité de l’information : une mise au point

En entreprise, la sécurité de l'information était importante bien avant l'arrivée des ordinateurs et des données numériques. Aujourd'hui, elle l’est peut-être encore plus en raison de la grande quantité de données pouvant être stockées et échangées. Peu importe les actifs informationnels, il est impératif de connaitre ce qui peut menacer leur sécurité et comment y faire face. Une mise au point s’impose.

Distinguer sécurité de l'information et cybersécurité
La sécurité de l’information vise la protection des actifs informationnels, quels qu’ils soient et où qu’ils se trouvent. Elle se concentre sur le maintien de la confidentialité, de l'intégrité et de la disponibilité de ces informations (modèle connu sous le nom de triade CIA, de l’anglais Confidentiality, Integrity, Availability). Au sens large, la confidentialité se définit comme un ensemble de règles régissant qui a le droit d’accéder à l’information et aux données. L'intégrité est l'assurance que les informations conservent leur cohérence, qu’elles soient toujours fiables et précises. La disponibilité, quant à elle, se définit comme la garantie que les personnes autorisées bénéficient d’un accès fiable aux données.

Par conséquent, le champ d'application de la triade CIA est beaucoup plus large que celui de la cybersécurité, car il inclut la sécurisation des informations stockées dans des lieux physiques comme les bureaux et les classeurs, ainsi que celle des données électroniques stockées dans les systèmes informatiques, y compris les ordinateurs, les appareils mobiles, les réseaux et les serveurs. « Si certains professionnels de la sécurité de l'information possèdent bien souvent des compétences en cybersécurité, ce n'est pas toujours le cas en matière de sécurité physique », explique Francis Coats, expert en sécurité et formateur chez ÉTS Formation. Et il ajoute : « Les entreprises doivent se doter du personnel possédant l’expertise adéquate, qui saura identifier les menaces et mettre en place les bonnes pratiques autant en cybersécurité qu’en sécurité physique. »

Connaître les menaces
Au cours de l’année 2021, 39 % des entreprises ont été victimes de violations de données ou d’attaques numériques1. « Les recommandations médiatisées traitent principalement de cybersécurité, mais le côté sécurité physique est sous-estimé. On vit un manque à ce niveau et on met de côté l’importance de la sécurité physique, qui peut être tout aussi dommageable », mentionne monsieur Coats.

Petites, moyennes ou grandes, toutes les entreprises, dans tous les secteurs, doivent comprendre et traiter les menaces visant l’information tout autant que leurs données.
Voici quelques exemples de ces menaces :

  • Les menaces internes. L'employé ou l’employée malhonnête, ou le sous-traitant insouciant; qu'est-ce qui les empêche de copier la clé d’une serrure, de partager le code du système d’alarme ou d’installer un dispositif d’écoute électronique dans une salle de conférence?
  • Cambriolage, vol et vandalisme. Les vandales ne sont pas forcément des personnes inconnues et n’excluent pas le personnel d’une entreprise. Que les actifs soient physiques ou numériques, le résultat est le même : des biens, des données et des informations volés, endommagés, détruits ou inutilisables.
  • Mots de passe et identifiants faibles, partagés ou volés. On ne mettra jamais assez l’accent sur l’importance de la complexité des mots de passe et leur confidentialité. Mais encore là, à quoi bon un mot de passe de béton s’il est écrit sur un papier collé sous le clavier ou dans un tiroir non verrouillé? Autant laisser vos clés de maison sous le paillasson!
  • Logiciels malicieux. Les membres de votre entreprise se méfient-ils lorsqu’ils ouvrent des courriels dont ils ne connaissent pas l'origine? Qu’en est-il des sites Web qu’ils visitent? Téléchargés sans mauvaise intention, une foule de logiciels malicieux peuvent ouvrir la porte à ceux et celles qui aimeraient exploiter vos systèmes connectés. Et ce type de situation est courant. En effet, 7 % des entreprises ont été touchées ou prises en otage par des virus, logiciels espions, logiciels malveillants ou rançongiciels en 20212. Les experts et expertes estiment également que toutes les 11 secondes, en 2021, une entreprise aura été victime d'une attaque par rançongiciel3.

Sécurité physique et sécurité numérique
« Protéger l’information, c’est protéger les actifs qui permettent à une entreprise d’opérer et de générer des revenus », note monsieur Coats. La majorité des incidents de sécurité de l’information se déroulent sur les lieux physiques. Cela met en lumière l’importance de la sécurité physique en milieu de travail et des principes de prévention du crime par l'aménagement du milieu (PCAM). « La surveillance, le contrôle d’accès ou encore le renforcement de la sécurité des bureaux contribuent à protéger les données et les autres actifs », ajoute-t-il.

En matière de sécurité de l’information, mieux vaut avoir l’esprit tranquille. Mieux vaut également prévenir que guérir. Et prévenir, ça s’apprend!



À ce sujet, ÉTS Formation vous suggère de suivre les formations suivantes, toutes deux données par Francis Coats :
Prévenir les comportements ou la criminalité par l'aménagement du milieu (PCAM)
Sécurité matérielle d'un site physique : principes et conception




1 Sutcliffe Insurance, 2021 (en anglais)
2 Insurance, 2021 (en anglais)
3 Insurance, 2021 (en anglais)