Les objectifs de protection de la sécurité de l'information sont les points clés élémentaires de la protection de l'information. L'information représente une valeur économique importante pour toutes les entreprises, et pas seulement depuis aujourd'hui. Elle est le fondement de leur existence et constitue donc une condition essentielle à la réussite de leurs activités. Il est donc évident - ou du moins souhaitable - que l'information doit être protégée. Cependant, il existe encore un large fossé entre le désir et la réalité.

Loading...

Quels sont les objectifs de protection de la sécurité de l'information ?

Des milliards de dollars de dommages sont causés chaque année en raison d'une sécurité insuffisante dans le traitement de l'information. Mais comment assurer une protection adéquate des actifs d'une organisation ? Et quelle est la meilleure façon pour une entreprise d'aborder le sujet de la sécurité de l'information ?

Un système de gestion de la sécurité de l'information (SGSI) bien structuré, conforme à la norme ISO/CEI 27001, constitue une base optimale pour la mise en œuvre efficace d'une stratégie de sécurité globale. La norme fournit un modèle pour l'introduction, la mise en œuvre, la surveillance et l'amélioration du niveau de protection. Pour y parvenir, les entreprises et les organisations doivent d'abord se pencher sur les trois objectifs de protection fondamentaux de la sécurité de l'information :

  • La confidentialité
  • Intégrité
  • Disponibilité

Objectifs de protection de la sécurité de l'information : Confidentialité des informations

L'objectif est de protéger les données confidentielles contre tout accès non autorisé, que ce soit pour des raisons de lois sur la protection des données ou sur la base de secrets commerciaux couverts, par exemple, par la loi sur les secrets commerciaux . La confidentialité des informations et des données sensibles est donc assurée si seules les personnes ayant l'autorité (l'autorisation) d'y accéder y ont accès. L'accès signifie, par exemple, la lecture, l'édition (modification) ou même la suppression.

Les mesures prises doivent donc garantir que seules les personnes autorisées ont accès aux informations confidentielles - les personnes non autorisées en aucun cas. Cela vaut également pour les informations sur papier, qui peuvent rester sans protection sur un bureau et inviter à la lecture, ou pour la transmission de données auxquelles on ne peut accéder au cours de leur traitement.

La mise en œuvre et l'efficacité des mesures qu'une entreprise met en place pour atteindre ces objectifs de protection sont une caractéristique essentielle de son niveau de sécurité de l'information.

L'annexe A de la norme ISO 27001, reconnue au niveau international, est très utile pour les utilisateurs de cette norme (ou ceux qui s'y intéressent) . Cette annexe fournit des objectifs et des mesures de référence pour les situations les plus importantes en matière de sécurité de l'information.

Pour les personnes autorisées, il est également nécessaire de préciser le type d'accès dont elles doivent disposer, ce qu'elles sont autorisées ou tenues de faire, et ce qu'elles ne sont pas autorisées à faire. Il faut s'assurer qu'elles ne peuvent pas faire ce qu'elles ne sont pas autorisées à faire. Les méthodes et techniques utilisées dans ce processus sont diverses et, dans certains cas, spécifiques à l'entreprise.

S'il s'agit "seulement" d'une visualisation ou d'une divulgation non autorisée d'informations (également pendant la transmission, classique : le trafic de courrier électronique !), des mesures cryptographiques peuvent être utilisées pour protéger la confidentialité, par exemple. Si l'objectif est d'empêcher toute modification non autorisée des informations, l'objectif de protection "intégrité" entre en jeu.

ISO/IEC 27001:2013- Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences
La norme est disponible sur le site web de l'ISO.

Objectifs de protection de la sécurité de l'information : Intégrité de l'information

Le terme technique d'intégrité est lié à plusieurs exigences à la fois :

  • Les modifications involontaires des informations doivent être impossibles, ou du moins détectables et traçables. Dans la pratique, la gradation suivante s'applique :
    - Une intégrité élevée (forte) empêche les modifications non souhaitées.
    - Une intégrité faible peut ne pas empêcher les changements, mais garantit que les changements (non intentionnels) peuvent être détectés et, si nécessaire, tracés (traçabilité).
  • La fiabilité des données et des systèmes doit être garantie.
  • L'exhaustivité des informations doit être garantie.

Les mesures visant à accroître l'intégrité de l'information portent donc également sur la question de l'autorisation d'accès, en liaison avec la protection contre les attaques externes et internes.

"Alors que les mots " confidentialité" et "disponibilité" sont facilement compréhensibles, presque explicites, en termes d'objectifs de protection classiques de la sécurité de l'information, le terme technique"intégrité" nécessite quelques explications. Il s'agit de l'exactitude (des données et des systèmes), de l'exhaustivité ou de la traçabilité (des modifications)."

Objectifs de protection de la sécurité de l'information : Disponibilité des informations

La disponibilité des informations signifie que ces informations, y compris les systèmes informatiques requis, doivent être accessibles à toute personne autorisée à tout moment et utilisables (fonctionnels) dans la mesure requise. Si un système tombe en panne ou si un bâtiment n'est pas accessible, les informations requises ne sont pas disponibles. Dans certains cas, cela peut entraîner des perturbations lourdes de conséquences, par exemple dans la maintenance des processus.

Il est donc judicieux de procéder à une analyse des risques en tenant compte de la probabilité d'une défaillance du système, de sa durée possible et des dommages éventuels causés par un manque de sécurité informatique. Des contre-mesures efficaces peuvent être déduites des résultats et exécutées si le pire devait arriver.

Que sont les objectifs de protection "étendus" ?

En plus des objectifs de sécurité que sont la confidentialité, l'intégrité et la disponibilité, il existe trois objectifs de sécurité supplémentaires. Il s'agit des deux aspects "engagement" et "responsabilité", qui se complètent. Le premier consiste à garantir qu'un acteur ne peut nier son action, le second que cette action peut lui être attribuée de manière fiable. Ces deux aspects se résument à l'identifiabilité unique des acteurs, et l'émission de mots de passe uniques est une exigence minimale à cet égard.

Le troisième objectif de protection étendue est l'"authenticité", c'est-à-dire le caractère authentique. Une question simple dans ce contexte est la suivante : L'information est-elle authentique - provient-elle réellement de la source spécifiée ? Cet objectif de protection est important pour évaluer la fiabilité de la source.

Certification de sécurité de l'information ISO 27001 par une femme avec un ordinateur portable dans une salle de serveurs
Loading...

Les informations de valeur sont l'or d'aujourd'hui - et aussi un actif à protéger pour votre entreprise. Lisez ici les réponses aux questions les plus importantes sur l'ISO 27001.

Objectifs de protection de la sécurité de l'information : Conclusion

Les trois principaux objectifs de protection de la sécurité de l'information sont la "confidentialité", l'"intégrité" et la "disponibilité".

Laconfidentialité: Pour pouvoir la garantir, il faut définir clairement qui est autorisé à accéder à ces données sensibles et de quelle manière. Cela est lié à des autorisations d'accès appropriées et à l'utilisation de techniques cryptographiques, par exemple.

L'intégrité signifie la protection contre les modifications et les suppressions non autorisées des informations, ainsi que la fiabilité et l'exhaustivité des informations. Il est donc important que votre entreprise prenne des précautions pour détecter rapidement les modifications apportées aux données ou pour empêcher toute manipulation non autorisée dès le départ.

Ladisponibilité signifie que les informations, les systèmes et les bâtiments doivent être disponibles à tout moment pour les personnes autorisées. Comme les défaillances de systèmes, par exemple, sont associées à des risques importants, il convient d'effectuer une analyse des risques pour ce complexe de sujets. Notez ici la probabilité de défaillance, le temps d'arrêt et le potentiel de dommages des systèmes les plus nécessaires.

L'engagement, la responsabilité et l'authenticité sont des objectifs de protection "étendus".

L'engagement est compris comme la garantie qu'un acteur ne peut pas nier ses actions. L'obligation de rendre des comptes complète cet objectif de protection étendue en identifiant clairement un tel acteur. L'authenticité pose la question suivante : Un élément d'information est-il authentique ou digne de confiance ?

DQS - Ce que vous pouvez attendre de nous

La sécurité de l'information est un sujet complexe qui va bien au-delà de la sécurité informatique. Elle comprend des aspects techniques, organisationnels et infrastructurels. La norme internationale ISO/IEC 27001 est adaptée à des mesures de protection efficaces sous la forme d'un système de gestion de la sécurité de l'information (SGSI).

DQS est votre spécialiste des audits et des certifications de systèmes et de processus de gestion. Avec 35 ans d'expérience et le savoir-faire de 2500 auditeurs dans le monde, nous sommes votre partenaire de certification compétent et apportons des réponses à toutes les questions concernant la norme ISO 27001 et les systèmes de gestion de la sécurité de l'information.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Nous sommes heureux de répondre à vos questions

Quel effort devez-vous prévoir pour faire certifier votre système de gestion de la sécurité de l'information selon la norme ISO 27001? Découvrez-le. Sans engagement et gratuitement.

Confiance et expertise

Nos textes et brochures sont rédigés exclusivement par nos experts en normes ou nos auditeurs ayant une longue expérience. Si vous avez des questions sur le contenu du texte ou sur nos services à notre auteur, n'hésitez pas à nous envoyer un e-mail.

Auteur
André Saeckel

Chef de produit chez DQS pour le management de la sécurité de l'information. En tant qu'expert en normes pour le domaine de la sécurité de l'information et du catalogue de sécurité informatique (infrastructures critiques), André Säckel est responsable, entre autres, des normes suivantes et des normes spécifiques au secteur : ISO 27001, ISIS12, ISO 20000-1, KRITIS et TISAX (sécurité de l'information dans l'industrie automobile). Il est également membre du groupe de travail ISO/IEC JTC 1/SC 27/WG 1 en tant que délégué national de l'Institut allemand de normalisation DIN.

Loading...