Deux choses que l'on confond souvent l'une avec l'autre : la sécurité informatique (IT) et la sécurité de l'information. À l'ère de la numérisation, les informations sont généralement traitées, stockées ou transportées à l'aide de l'informatique - À l'ère de la numérisation, les informations sont généralement traitées, stockées ou transportées à l'aide de l'informatique - mais souvent, la sécurité de l'information est encore plus analogique qu'on ne le pense ! Fondamentalement, la sécurité informatique et la sécurité de l'information sont assez étroitement liées. Une approche systématique est donc nécessaire pour protéger efficacement les informations confidentielles, ainsi que l'informatique elle-même.

Loading...

Sécurité informatique vs. sécurité de l'information

La sécurité de l'information est plus qu'une simple sécurité informatique. Elle se concentre sur l'ensemble de l'entreprise. En effet, la sécurité des informations confidentielles ne vise pas seulement les données traitées par des systèmes électroniques. La sécurité de l'information englobe tous les actifs de l'entreprise qui doivent être protégés, y compris ceux qui se trouvent sur des supports de données analogiques comme le papier.

"La sécurité informatique et la sécurité de l'information sont deux termes qui ne sont pas (encore) interchangeables."

Objectifs de protection de la sécurité de l'information

Les trois objectifs de protection essentiels de la sécurité de l'information - confidentialité, disponibilité et intégrité - s'appliquent donc aussi à une lettre contenant des documents contractuels importants, qui doit arriver à la porte de son destinataire à temps, de manière fiable et intacte, transportée par un coursier, mais entièrement analogique. Et ces objectifs de protection s'appliquent également à une feuille de papier contenant des informations confidentielles, mais qui repose sur un bureau non surveillé à la vue de tous ou qui attend dans la photocopieuse, librement accessible, pour être consultée sans autorisation.

La sécurité de l'information a donc une portée plus large que la sécurité informatique. La sécurité informatique, quant à elle, se réfère "uniquement" à la protection des informations sur les systèmes informatiques.

La sécurité informatique selon la définition

Que disent les organismes officiels ? La sécurité informatique est "un état dans lequel les risques présents dans l'utilisation des technologies de l'information en raison de menaces et de vulnérabilités sont réduits à un niveau acceptable par des mesures appropriées. La sécurité informatique est donc l'état dans lequel la confidentialité, l'intégrité et la disponibilité des informations et des technologies de l'information sont protégées par des mesures appropriées." Selon l'Office fédéral allemand pour la sécurité de l'information (BSI).

Sécurité de l'information = sécurité informatique plus X

Dans la pratique, on adopte parfois une approche différente, en utilisant la règle empirique "sécurité de l'information = sécurité informatique + protection des données". Cependant, cette affirmation, écrite sous forme d'équation, est assez frappante. Certes, la question de la protection des données dans le cadre du GDPR européen concerne la protection de la vie privée, ce qui exige que les processeurs de données personnelles disposent à la fois d'une informatique sécurisée et, par exemple, d'un environnement de bâtiment sécurisé - excluant ainsi tout accès physique aux enregistrements de données des clients. Toutefois, cela laisse de côté d'importantes données analogues qui ne nécessitent pas de protection de la vie privée. Par exemple, les plans de construction de l'entreprise et bien d'autres choses encore.

Le terme de sécurité de l'information contient des critères fondamentaux qui vont au-delà des aspects purement informatiques, mais qui les incluent toujours. Ainsi, comparativement, même de simples mesures techniques ou organisationnelles dans le cadre de la sécurité informatique sont toujours prises dans le contexte d'une sécurité de l'information appropriée. En voici quelques exemples :

  • La sécurisation de l'alimentation électrique du matériel.
  • Mesures contre la surchauffe du matériel
  • Analyses antivirus et programmes sécurisés
  • Organisation de la structure des dossiers
  • Mise en place et mise à jour de pare-feu
  • Formation des employés, etc.

Il est évident que les ordinateurs et les systèmes informatiques complets n'ont pas besoin d'être protégés en soi. Après tout, sans informations à traiter ou à transporter numériquement, le matériel et les logiciels deviennent inutiles.

La sécurité informatique par la loi, un exemple en Allemagne

Le sujet de CRITIS: La loi sur la sécurité informatique se concentre sur les infrastructures critiques de différents secteurs, tels que l'approvisionnement en électricité, gaz et eau, les transports, la finance, l'alimentation et la santé. Ici, l'accent est mis sur la protection des infrastructures informatiques contre la cybercriminalité afin de maintenir la disponibilité et la sécurité des systèmes informatiques. En particulier, les systèmes de télécontrôle à commande numérique d'aujourd'hui doivent être protégés.

Ces objectifs de protection sont au premier plan (extrait) :

  • Prise en compte des risques liés à la sécurité informatique
  • Création de concepts de sécurité informatique
  • Création de plans d'urgence
  • Prise de mesures de sécurité générales
  • Contrôle de la sécurité Internet
  • Utilisation de méthodes cryptographiques, etc.

ISO 27001 - La norme pour la sécurité de l'information

Que dit la norme ISO 27001? La norme mondialement reconnue pour un système de gestion de la sécurité de l'information (SGSI), avec ses dérivés ISO 27019, ISO 27017 et ISO 27701, est appelée :

ISO/IEC 27001:2017 - Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences (ISO/IEC 27001:2013 y compris Cor 1:2014 et Cor 2:2015).

Le titre de cette importante norme indique clairement que la sécurité des TI joue un rôle majeur dans la sécurité de l'information aujourd'hui et que son importance continuera de croître à l'avenir. Toutefois, les exigences énoncées dans la norme ISO 27001 ne visent pas directement les seuls systèmes informatiques numériques. Bien au contraire :

"Dans toute la norme ISO/CEI 27001, il est fait référence à l'"information" de manière générale, sans exception."

En principe, aucune distinction n'est faite quant à la manière analogique ou numérique dont ces informations sont traitées ou doivent être protégées.

Un SGSI mis en œuvre avec succès soutient une stratégie de sécurité globale : il comprend des mesures organisationnelles, une gestion du personnel consciente de la sécurité, la sécurité des structures informatiques déployées et le respect des exigences légales.

La sécurité de l'information est souvent plus analogue qu'on ne le pense

Quiconque le souhaiterait pourrait appliquer les exigences de la norme ISO 27001 à un système entièrement analogique et se retrouver avec autant que quelqu'un qui aurait appliqué ces exigences à un système entièrement numérique. Ce n'est que dans l'annexe A de la célèbre norme ISMS, qui contient des objectifs de mesure et des mesures pour les utilisateurs, que des termes tels que télétravail ou appareils mobiles apparaissent. Mais même les mesures de l'annexe A de la norme nous rappellent qu'il existe encore dans chaque entreprise des processus et des situations analogues dont il faut tenir compte en matière de sécurité de l'information.

Celui qui parle à voix haute de sujets sensibles via son smartphone en public, par exemple dans le train, utilise peut-être des canaux de communication numériques, mais son comportement fautif est en réalité analogique. Et quiconque ne nettoie pas son bureau ferait mieux de verrouiller son bureau pour préserver la confidentialité. Au moins, le nettoyage, qui est l'une des mesures les plus efficaces pour protéger les informations, est encore généralement effectué à la main, jusqu'à présent...

Sécurité informatique et sécurité de l'information - Conclusion

La sécurité informatique et la sécurité de l'information sont deux termes qui ne sont pas (encore) interchangeables. La sécurité informatique est plutôt une composante de la sécurité de l'information, qui à son tour comprend également les faits, les processus et la communication analogiques - ce qui, soit dit en passant, est encore courant dans de nombreux cas aujourd'hui. Toutefois, la numérisation croissante rapproche de plus en plus ces termes, de sorte que la différence de sens deviendra probablement plus marginale à long terme.

Ce que vous pouvez attendre de nous

DQS est votre spécialiste des audits et des certifications - pour les systèmes de gestion et les processus. Avec 35 ans d'expérience et le savoir-faire de 2500 auditeurs dans le monde, nous sommes votre partenaire de certification compétent pour tous les aspects de la sécurité de l'information et de la protection des données.

Vous avez des questions ?

Contactez nous !
Sans engagement et gratuitement.

Nous ne nous contentons pas de parler de compétence professionnelle, nous l'avons : Vous pouvez vous attendre à ce que tous nos auditeurs DQS aient une expérience professionnelle pratique de plusieurs années. Elles ont été acquises dans des organisations de toutes tailles et de tous secteurs. Grâce à cette diversité, il est garanti que votre auditeur principal DQS comprendra la situation de votre entreprise et votre culture de gestion. Nos auditeurs connaissent les systèmes de gestion de par leur propre expérience, c'est-à-dire qu'ils ont eux-mêmes mis en place, géré et développé des SMSI - et ils connaissent les défis quotidiens de par leur propre expérience. Nous sommes impatients de discuter avec vous.

Auteur
Gert Krueger

Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.

Loading...