Vous êtes ici : Accueil > En pratique > Sécurité de l'information

La sécurité de l'information

Il n'est aucune entreprise ou organisation au monde, qu'elle soit privée ou publique, qui ne rassemble, compile et traite des données dans son propre système informatique. Les pouvoirs publics collectent des données pour calculer votre pension, vous imposer correctement ou encore vous rembourser vos frais médicaux. L'entreprise ou l'organisation dans laquelle vous travaillez rassemble des données vous concernant pour calculer et payer votre salaire. Les grands magasins enregistrent des données sur votre comportement d'achat par le biais de leurs cartes client en vue de mieux y adapter leur offre …

Dans notre société du 21e siècle, les informations sont un bien précieux. Et, comme tous les autres biens précieux, elles doivent être protégées. Jusqu'il y peu, protéger les données était relativement simple. Chaque organisation possédait son propre réseau informatique fermé que quelques simples mesures suffisaient à sécuriser. Une bonne serrure à l'entrée du local informatique, un bon programme et un backup quotidien, … et l'affaire était dans le sac!

Mais, les choses ont changé et cette époque est bel et bien révolue. Les nouvelles technologies de l'information ont provoqué un véritable raz-de-marée. Aujourd'hui, tout le monde ou presque est connecté à internet et la communication se déchaîne. La salle d'informatique d'antan s'est transformée en un gigantesque réseau qui exige des mesures de protection nettement plus complexes.

Bien sûr, toutes les informations ne sont pas non plus des données à caractère personnel. Il est logique qu'un fabricant protège par tous les moyens ses secrets de fabrication pour éviter qu'un concurrent ne s'en empare ne se les accapare et n'en fasse mauvais usage. Mais, ce ne sont pas ces données-là qui nous intéressent vraiment. Nous, nous nous concentrons avant tout et surtout sur les informations qui contiennent des données à caractère personnel. En élab orant une Loi relative à la protection de la vie privée le législateur a rendu la protection des données à caractère personnel obligatoire. Aujourd'hui, toute personne amenée à traiter de telles données est tenue de les protéger et de les sécuriser.

Plus facile à dire qu'à faire, pensez-vous ? Vous vous demandez par quel bout commencer ? Vous vous demandez ce que vous devez exactement protéger et à quel moment vous devez le faire ? Vous vous interrogez sur le but de tout cela ? Autant de questions simples auxquelles les réponses sont pourtant compliquées. Mais à cœur vaillant rien d'impossible et nous avons donc décidé de rédiger ce texte qui a pour principale vocation de vous faire découvrir l'antichambre du monde particulier de la protection des données. Si le sujet vous passionne et que vous brûlez d'impatience d'en apprendre plus sur ce sujet, nous vous conseillons de plutôt vous orienter vers le texte “protection des données à caractère personnel”.

Avant de se lancer dans l'élaboration d'une politique de sécurité des informations, il faut bien sûr savoir ce qu'est une "information sécurisée" ou en d'autres termes ce qu'est la "sécurité de l'information". Si la qualité de certaines informations peut s'avérer vitale pour la survie d'une entreprise, leur exactitude peut l'être tout autant et il vaut parfois mieux ne pas communiquer d'informations plutôt que de communiquer des informations inexactes. Supposez que le grand magasin dans lequel vous faites vos courses annonce que dans le cadre d'une grande campagne publicitaire tous les clients qui ont leur anniversaire ont droit à un cadeau. Malheureusement pour vous, le magasin perd les données de toute une série de clients, dont les vôtres, et tous les clients dont les données ont été perdues n'ont pas droit à ce cadeau. Imaginez la contre-publicité que cette situation va entraîner pour ce magasin et tout ce qu'il devra en œuvre pour récupérer les clients perdus …

Des informations de bonne qualité sont donc des informations exactes, bien protégées et sûres. Cette sécurité de l'information peut être testée sur la base de sept caractéristiques aussi appelées attributs de sécurité qui sont les suivants. La confidentialité : seules les personnes y habilitées ont accès aux informations, l'intégrité : les informations ne peuvent pas être modifiées intentionnellement ou non intentionnellement, la disponibilité : les informations sont accessibles et utilisables chaque fois qu'une personne y habilitée le demande, l'imputabilité : signifie qu'on dispose toujours d'une trace de l'auteur et du traitement à proprement parler de l'information, la non-répudiation : elle permet de prouver qu'un traitement ou un événement a réellement eu lieu et d'empêcher qu'ils ne soient niés ultérieurement, l'authenticité : qui prouve qu'une personne est bien celle qu'elle prétend être et enfin la fiabilité qui désigne le fait d'atteindre le résultat escompté. Lorsque des informations possèdent ces sept attributs, elles peuvent être qualifiées de sécurisées et donc de qualité.

Dès que les informations contiennent aussi des données à caractère personnel, la Loi vie privée entre en jeu et s'applique. Cette loi, va un pas plus loin encore et fixe des conditions supplémentaires auxquelles les informations qui contiennent des données à caractère personnel doivent satisfaire pour être sûres et protégées. Elles doivent, ainsi, entre autres, être traitées loyalement et licitement, être collectées pour des finalités déterminées, être adéquates, pertinentes et non excessives, être exactes et si nécessaire être régulièrement mises à jour et elles ne peuvent pas être conservées plus longtemps que nécessaire.

Toute entreprise ou organisation doit aussi prendre une série de mesures pour protéger suffisamment les données à caractère personnel qu'elle traite. Elle doit déclarer ses traitements à la Commission, respecter les droits des personnes concernées, veiller à ce que les données soient en permanence exactes ou les supprimer le cas échéant, veiller à ce que seuls les traitements nécessaires à la réalisation de la finalité poursuivie soient effectués, limiter l'accès aux données à caractère personnel aux personnes y habilitées (autorisation), protéger les données aussi longtemps qu'elles existent et si elle confie le traitement de ces données à un tiers veiller à ce que ce dernier reprenne contractuellement toutes ces obligations et responsabilités.

La Loi vie privée nous octroie donc le droit à la protection de nos données à caractère personnel et impose que cette protection passe par la prise de toute une série de mesures de sécurité.

Maintenant que nous connaissons les attributs que doivent posséder les informations pour être sécurisées, nous pouvons enfin élaborer un bon système de gestion de la sécurité des données pour les protéger et garantir le maintien de leur niveau de qualité. Comme on l'a déjà dit plus avant: la qualité irréprochable des informations est une nécessité absolue à la survie des organisations.

Pour maintenir ce niveau de sécurité des informations on peut opter pour différentes méthodes. Certaines sont plus chères que d'autres. Il convient donc de soigneusement identifier les dangers potentiels et de déterminer les mesures à prendre pour les éliminer ou les réduire. Si les risques sont faibles, il n'a aucun sens de prendre des mesures de sécurité lourdes et complexes.

La protection des données se doit donc d'être réfléchie et raisonnable et demande partant une approche méthodique. C'est ce qu'on appelle la gestion des risques. Avant tout, il convient dans ce cadre de définir les risques auxquels sont exposées les données. Dans un deuxième temps, il faut décider des risques à traiter et des risques acceptables. Pour cela, les risques sont répertoriés sur une liste par ordre décroissant d'importance et cette liste est ensuite utilisée pour élaborer les procédures de sécurité souhaitées.

Une fois les mesures et les systèmes de sécurité mis en place, il faut vérifier, chaque jour, s'ils sont efficaces et si toutes les règles de sécurité sont respectées de sorte à pouvoir être sûr de cette sécurité à tout moment. C'est ce qu'on appelle la gestion quotidienne de la sécurité. Si un incident se produit malgré tout, il faut en étudier les causes et déterminer de quelle manière l'éviter à l'avenir. Tout cela fait, il ne reste plus qu'à adapter les mesures de sécurité.

Cette adaptation des mesures de sécurité se fait à l'aide d'un système de management qui permet de sans cesse améliorer et adapter la protection des données aux nouvelles conditions et aux nouvelles technologies.

A ce stade, l'entreprise peut enfin élaborer une politique de sécurité pour protéger au mieux les informations en sa possession contre les divers dangers qui peuvent menacer son existence.

Cette gestion du risque tient compte de tous les aspects qui peuvent représenter un danger potentiel pour l'entreprise ou l'organisation. Toutes ces possibilités sont prises en compte et étudiées avant d'opter pour les mesures les plus appropriées.

Ce qu'il faut avant tout, c'est identifier précisément les biens de l'entreprise ou de l'organisation à risque ainsi que les menaces qui pèsent sur ces biens.
Ces menaces peuvent être un incendie ou un crash informatique. Il se peut aussi que cette menace soit le résultat d'une intervention humaine non intentionnelle, par exemple, quelqu'un peut oublier par inadvertance un document confidentiel dans un train. Cette menace peut aussi, bien sûr, découler d'un acte intentionnel, par exemple en cas d'effraction ou d'espionnage.

Il faut aussi tenir compte des maillons faibles ou vulnérabilités de l'entreprise ou de l'organisation. Il peut s'agir dans ce cadre d'un logiciel mal installé ou d'une serrure défectueuse à la porte d'accès à un local dans lequel sont conservées des informations importantes. Ces points faibles de la protection des données peuvent entraîner des dommages. Une erreur de programmation peut ainsi permettre à un pirate informatique de pénétrer dans le système et d'y détruire des fichiers.

Il peut aussi hélas arriver que des incidents inattendus surviennent, par exemple une surcharge du système informatique. Il faut donc essayer de tenir compte des différents types d'incidents potentiels.
Certains incidents ne sont pas sans conséquences et leur impact peut parfois prendre des proportions gigantesques. La corruption ou la perte d'un fichier qui contient des données relatives aux allocations familiales peut ainsi s'avérer préjudiciable à de nombreuses personnes qui ont des enfants. Des mesures doivent donc aussi être élaborées pour être prêt à faire face à ces éventualités.

Enfin, il faut aussi essayer d'évaluer les risques pour l'entreprise ou l'organisation. Évaluer ce risque signifie calculer la probabilité qu'un risque identifié se produise (par exemple qu'un virus efface un fichier) et en évaluer les conséquences potentielles. Il peut, en effet, s'avérer utile d'évaluer quelles peuvent être les conséquences de la disparition du fichier qui contient toutes les données salariales du personnel de l'entreprise ou celles qui peuvent être liées au fait qu'un membre du personnel divulguerait à un collègue le mot de passe lui donnant accès au fichier comptable. Ces deux événements peuvent bien sûr entraîner des conséquences très différentes en termes d'importance.

L'étape suivante consiste à élaborer des mesures de sécurité adaptées aux risques encourus par l'entreprise ou l'organisation. Il faut, pour cela, développer la solution la plus adaptée pour l'entreprise ou l'organisation par rapport à chaque danger ou risque auquel elle est exposée. Les éventuels dangers peuvent être réduits et les vulnérabilités peuvent être corrigées en veillant à limiter leurs conséquences. On peut aussi mettre en place un dépistage actif des incidents potentiels de sorte à pouvoir intervenir avant que la situation ne s'aggrave.

Enfin, il persiste bien sûr toujours des risques résiduels, ceux que la mise en place des mesures de protection ne permet pas d'éliminer. Ces risques sont impossibles à éviter (p. ex. les erreurs humaines) et le but doit être de les ramener ou de les garder à un niveau minimum.

Il est illusoire de penser que tous les risques puissent être exclus. Même le système de sécurité le plus performant ne sera donc jamais à l'abri d'événements impondérables : p. ex des actes de malveillance mais aussi les erreurs humaines, les catastrophes naturelles, etc. Ces dangers surviennent hélas le plus souvent inopinément et là où on les attend le moins. Il n'y a donc d'autre issue que d'apprendre à vivre avec et à les gérer au mieux. Le salut ne peut venir que de la capacité de l'entreprise ou de l'organisation de maintenir le risque résiduel au niveau le plus bas possible. Ce risque minimum est différent pour chaque entreprise ou organisation, ce qui explique qu'on ne dispose d'aucune recette miracle prêt à l'emploi. Chaque entreprise ou organisation doit élaborer sa politique de sécurité pour garantir une gestion du risque appropriée à sa specificité.

Étant donné que la mauvaise utilisation de nos données à caractère personnel peut avoir une influence énorme sur notre vie, la Loi vie privée règle les aspects cités ci-dessus mais impose également d'autres prescriptions encore. C'est ainsi, notamment, que le responsable du traitement des données doit déterminer qui peut avoir accès aux données. Il doit aussi fixer à quelles conditions et quand cet accès est autorisé (confidentialité des données), déterminer de quelle manière les données sont collectées et qui est autorisé à les traiter (intégrité des données). C'est aussi lui qui fixe le délai pendant lequel les données sont accessibles et leur méthode de disponibilité (disponibilité des données) et enfin, c'est encore lui qui fixe les preuves à confectionner (qui a eu accès, à quelles données et quand).

Précédemment, la sécurité de l'information était une tâche surtout dévolue aux informaticiens et il suffisait pour s'en assurer, qu'ils prennent une série de mesures techniques pour sécuriser le système informatique de l'entreprise ou de l'organisation.

Aujourd'hui, les choses ont changé et les innombrables nouvelles possibilités et applications en matière de sécurité de l'information demandent une approche globale. Bien que l'initiative à ce niveau doive émaner de la direction, toute personne susceptible d'influer sur l'un ou l'autre élément du système informatique est investie de responsabilités par rapport à cette sécurité. Bref, la sécurité de l'information dépend de tous ceux ou presque qui font partie de l'entreprise ou de l'organisation. Il est de la plus haute importance que chacun, chaque jour, collabore activement à assurer cette sécurité.

Cette responsabilité ressortit à la direction qui doit élaborer une politique de sécurité et de veiller à la bonne mise en œuvre des mesures qui y sont préconisées. Elle ressortit aussi au personnel chargé de mettre ces mesures en œuvre, par exemple, veiller à ne pas divulguer d'informations, à bien fermer la porte du local où sont stockées les informations confidentielles, à ne pas communiquer à autrui son code personnel d'accès à une base de données,….

La direction doit élaborer, pour elle-même et pour son personnel, un code de bonne conduite en matière de sécurité de l'information et y sensibiliser son personnel. Tous les membres du personnel doivent être convaincus de l'importance de respecter les règles de sécurité. Ils doivent être pleinement conscients des conséquences qui peuvent être liées à leur éventuel non-respect des règles en matière d'utilisation des informations. Chaque membre de l'entreprise ou de l'organisation doit arriver à respecter ces règles naturellement parce qu'elles font partie intégrante de sa culture d'entreprise. Toute politique de sécurité efficace repose sur cet axiome.

La direction doit aussi désigner un conseiller en sécurité du système d'information. Le conseiller en sécurité se doit d'être l'instigateur et le moteur de la politique de sécurité de l'information. C'est à lui qu'est confiée la mise en œuvre de la politique de sécurité. C'est donc lui qui fait des propositions, qui fixent les objectifs à atteindre, qui suit et conseille les différentes personnes qui interviennent lors de la mise en place du système de sécurisation. Il analyse et étudie les incidents de sécurité et propose des mesures pour améliorer les choses. Il s'assure encore que personne ne soit mis sous pression par des intérêts contradictoires et il endosse la fonction de principal interlocuteur dans toutes les questions qui concernent la sécurité. Il rapporte directement à la direction et bénéficie de moyens suffisants, tant en argent, qu'en personnel ou en matériel et équipement pour pouvoir exécuter correctement sa mission.

L'élaboration d'une politique de sécurité peut s'appuyer sur diverses recommandations et modèles internationaux. De son côté, la Commission a, elle aussi, élaboré son propre modèle destiné à aider le responsable d'un traitement à sécuriser les données à caractère personnel qu'il a l'intention de traiter : "mesures de référence en matière de sécurité applicables à tout traitement de données à caractère personnel".

Pour vérifier si le responsable du traitement a respecté les mesures de références susmentionnées, la Commission a élaboré un formulaire d'évaluation par secteur.

Questionnaire d’évaluation destiné à tout demandeur d’une communication électronique de données (formulaire pdf - formulaire Word) - Comité sectoriel pour l'Autorité Fédérale

Questionnaire d’évaluation destiné à tout demandeur de communication de données d'étude codées, conformément à l'article 15 de la loi statistique (formulaire pdf - formulaire Word) - Comité de surveillance statistique

Pour le Comité sectoriel du Registre national, ce formulaire a été divisé en deux parties:

• la "Proposition de désignation d'un conseiller en sécurité de l’information " (document Word / fichier PDF),
  ainsi que
• la "Déclaration de conformité relative à la sécurité du système d’information faisant l’objet de la demande d’autorisation d’accès ou de connexion au registre national" (document Word / fichier PDF).

Un bon système de gestion de la sécurité doit obéir à plusieurs principes importants : sans sécurité, pas d'information de qualité, la sécurité est un état d'esprit, elle doit être abordée de manière consciente dans le cadre d'un système et poursuivre un but déterminé. La sécurité ressortit avant tout à la direction et ensuite à chacun des membres de l'entreprise ou de l'organisation. Par contre, la sécurité totale, ça n'existe pas! La sécurité n'est jamais parfaite, c'est un processus de chaque instant. Mais, un bon système de gestion de la sécurité doit surtout reposer sur une bonne dose de bon sens. Plusieurs mesures simples sont aussi efficaces qu'une mesure compliquée. Et, le danger est aussi à l'intérieur car dans la chaîne de la sécurité, le maillon le plus faible reste l'homme. Le plus important, c'est donc d'informer et de former. Et, quand il y traitement de données à caractère personnel, les principes de la Loi vie privée en matière de protection des données à caractère personnel doivent être intégrées dans ce système de gestion de la sécurité.

Tant que tous ces principes ne sont pas respectés, on ne peut pas parler de véritable sécurité de l'information.

Lire également dans le lexique: confidentialité - intégrité - disponibilité - imputabilité - non-répudiation - authenticité - fiabilité - mesures de sécurité - gestion des risques - gestion quotidienne de la sécurité - système de management - biens - menaces - vulnérabilités - incidents - impact - risques - risques résiduels