Que sont la sécurité des informations et la cyber-sécurité et comment peuvent-elles protéger votre entreprise ?

Les entreprises d'aujourd'hui doivent être préparées à la menace des cyber-attaques et des violations de données. Chaque commerce, société ou entreprise doit s'efforcer de prévenir une attaque ou une perturbation, ainsi que les lourdes conséquences qui en découlent. Ces conséquences comprennent les pertes financières, les effets négatifs sur les opérations et la conformité, et les dommages à long terme sur la réputation. Chacun de ces facteurs peut détourner une entreprise de ses activités et la placer en situation de désavantage concurrentiel. Dans son livre blanc, IDC Research indique que « le coût moyen d'un temps d'indisponibilité dépasse 200 000 dollars par heure ».¹

Que pouvez-vous faire pour protéger votre entreprise contre les cyber-attaques et les violations de données ? Quels outils pouvez-vous utiliser pour accroître votre résilience à leur égard et améliorer vos chances de les éviter ? Comment allez-vous atténuer leurs dommages et réduire votre temps de récupération ? La sécurité des informations et la cyber-sécurité sont deux outils qui peuvent vous aider à protéger votre entreprise contre les pirates informatiques qui lui feraient du tort.

Qu'est-ce que la sécurité des informations ?

Techopedia indique que la sécurité des informations (InfoSec), parfois abrégée IS ou appelée sécurité des données, a pour but de « protéger la confidentialité, l'intégrité et la disponibilité des données des systèmes informatiques contre ceux qui ont des intentions malveillantes ».² Il s'agit de sécuriser les données et d'empêcher tout accès non autorisé ou toute altération similaire lorsque les données sont stockées ou transférées d'un dispositif à un autre.  

Le SANS Institute propose une définition plus large, définissant l'InfoSec comme « les processus et les méthodologies conçus et mis en œuvre pour protéger les informations ou les données imprimées, électroniques ou de toute autre forme, confidentielles, privées et sensibles, contre tout accès, utilisation, abus, divulgation, destruction, modification ou perturbation non autorisés ».³

Le National Institute of Standards and Technology (NIST) définit brièvement l'InfoSec comme « la protection des systèmes d'information contre l'accès non autorisé ou la modification des informations ».⁴ Cependant, partant de cette définition plus simple, le NIST l'élargit pour inclure l'action de protéger l'information « dans le stockage, le traitement ou le transit, et contre le refus de service aux utilisateurs autorisés, [et inclut] les mesures nécessaires pour détecter, documenter et contrer ces menaces ».⁴

Qu'est-ce que la cyber-sécurité ?

Technopedia définit la cyber-sécurité comme « des méthodes préventives utilisées pour protéger les informations contre le vol, la détérioration ou les attaques [qui nécessitent] une compréhension des menaces potentielles pesant sur les informations, telles que les virus et autres codes malveillants ».⁵ Le NIST définit la cyber-sécurité comme la « capacité de protéger ou de défendre l'utilisation du cyber-espace contre les cyber-attaques ».⁴  Security Scorecard simplifie la définition du NIST en indiquant que « la cyber-sécurité est liée aux attaques provenant de l'extérieur d'une organisation [et qu'il s'agit] du cadre de protection et de sécurisation de tout ce qui est vulnérable aux piratages, aux attaques ou aux accès non autorisés [spécifiques à la technologie] ».⁶

Voici quelques exemples de stratégies et d'outils utilisés par la cyber-sécurité :

• Gestion des identités et des accès
• Pilotage des risques
• Gestion des incidents
• Logiciels antivirus et anti-malware
• Correctifs logiciels
• Pare-feu
• Authentification à deux facteurs
• Chiffrement

En raison de la nature critique de la cyber-sécurité, il est essentiel pour une entreprise de mettre en place un plan de cyber-sécurité complet. De nombreuses entreprises ont besoin de l'expertise approfondie d'un responsable de la sécurité  ou d'un responsable de la sécurité des informations pour superviser l'opération.

InfoSec versus cyber-sécurité

Il est facile de considérer l'Infosec et la cyber-sécurité comme des concepts généraux synonymes de cyber-résilience. Ces deux concepts impliquent la protection des informations, la gestion et l'atténuation des risques et des incidents perturbateurs, ainsi que la réduction de l'impact de tout incident perturbateur.  

Cependant, ils ne sont pas interchangeables et il existe des distinctions claires entre les deux termes qui sont ancrées dans la manière dont les données sont stockées ou la forme qu'elles prennent.

L'InfoSec vise principalement à sécuriser les données, qu'elles soient numériques ou analogiques. En pratique, le concept d'InfoSec peut s'appliquer aussi bien à la protection du contenu de votre coffre-fort personnel qu'à la protection de toutes les données numériques de votre entreprise. Disposer d'un pare-feu est important pour l'InfoSec, mais il en va de même pour les méthodes de protection des biens physiques, comme le fait de disposer de personnel de sécurité et de verrouiller les portes ou de prendre des mesures similaires pour limiter l'accès aux seuls employés devant accéder à certaines zones.

SecurityScorecard indique que « la cyber-sécurité [se rapporte] exclusivement à la protection des données qui ont une origine numérique, y compris les informations, les systèmes et les réseaux numériques ».⁶  Le fait que la cyber-sécurité soit exclusivement axée sur les données numériques permet de la distinguer de l'InfoSec.

Le site Web du CSO propose une explication différente de la différence entre l'InfoSec et la cyber-sécurité, notant que « la cyber-sécurité est la pratique plus large de la défense des actifs informatiques contre les attaques, et la sécurité de l'information est une discipline spécifique sous le parapluie de la cyber-sécurité ».⁷ Développant ce concept, le CSO indique que « la sécurité des réseaux et la sécurité des applications sont des pratiques sœurs de l'InfoSec [qui se concentrent] sur les réseaux et le code des applications, respectivement ».⁷

Application de l'InfoSec à la sécurité des centres de données

Quant aux applications pratiques de l'InfoSec, pensez à la sécurité des centres de données, qu'ils soient directement gérés par une entreprise ou par son fournisseur de services cloud. Les centres de données sont très complexes et nécessitent à la fois une sécurité physique et une sécurité logicielle ou virtuelle. La conception, la disposition et l'emplacement du bâtiment du centre de données sont souvent incorporés dans les stratégies de sécurité physique, y compris la localisation du centre de données loin des routes principales et la création de zones tampons autour du centre de données. D'autres techniques et outils permettent d'optimiser la sécurité physique d'un centre de données :

• Agents de sécurité, caméras et systèmes d'alarme
• Authentification à deux facteurs, cartes de vérification d'identité personnelle (PIV) et codes d'accès personnels
• Lecteurs de badges et systèmes biométriques, tels que les lecteurs d'empreintes digitales, les logiciels de reconnaissance faciale et les scanners d'iris

Outre la prévention des accès non autorisés, la sécurité physique peut également être utilisée pour empêcher les dommages au centre de données à la suite d'une catastrophe ou d'une perturbation similaire. Par exemple, dans le cas d'une panne de courant massive et si le courant n'est pas rétabli rapidement, il peut être difficile d'établir un refroidissement approprié pour tous les serveurs du centre de données, ce qui entraîne des dommages aux serveurs. Cependant, l'utilisation de redondances, telles que des sauvegardes électriques supplémentaires et des systèmes de refroidissement qui fonctionnent plus longtemps avec moins d'énergie, permet de prévenir les dommages et de garantir l'intégrité des serveurs.

Alors que la sécurité physique utilise différents outils et techniques pour assurer la sécurité d'un centre de données et de ses données, les processus de sécurité logicielle utilisent des outils et techniques numériques. Ces outils et techniques numériques empêchent tout accès non autorisé au réseau du centre de données, y compris tout ce qui pourrait endommager le centre de données ou entraîner le vol ou l'accès non autorisé à ses données. Les outils de gestion des informations et des événements de sécurité permettent de superviser et de gérer le centre de données en temps réel. Ils peuvent être utilisés pour contrôler qui a accès aux différentes parties du centre de données et à ses données, ainsi qu'aux systèmes d'alarme et aux capteurs du centre de données.

Avant de déployer quoi que ce soit sur le réseau du centre de données, il faut l'analyser et l'évaluer pour déterminer s'il présente un risque pour l'intégrité du réseau du centre de données. Ces analyses recherchent généralement des logiciels malveillants ou un élément de logiciel ou de code de même nature.

Quels sont les principes fondamentaux de l'InfoSec ?

Mentionnée pour la première fois dans une publication du NIST en 1977,⁸ ce que l'on appelle communément la triade de la CIA regroupe les principes fondamentaux qui constituent le cœur battant de l'InfoSec. Ces trois principes sont :  

• La confidentialité
• L'intégrité
• La disponibilité
  

Qu'est-ce que la confidentialité ?

Sans doute le principal synonyme d'InfoSec, la confidentialité désigne l'action de protéger la vie privée et de maintenir des restrictions autorisées sur la divulgation et l'accès aux données, informations, logiciels ou autres. Le CSO indique que pour préserver la confidentialité, votre sécurité informatique doit « être capable d'identifier qui tente d'accéder aux données et de bloquer les tentatives des personnes non autorisées ».⁷ Parmi les outils qui augmentent votre cyber-résilience et contribuent à garantir la confidentialité des données, citons les suivants :  

• Authentification à un facteur, authentification à deux facteurs , authentification à plusieurs facteurs et autres types d'authentification similaires
• Authentification par mot de passe, qui est le type d'authentification le plus courant
• Chiffrement symétrique et chiffrement asymétrique
• Produits et services de gestion des identités et des accès
  

Qu'est-ce que l'intégrité ?

L'intégrité consiste à maintenir l'homéostasie de vos données et à les protéger contre toute modification ou destruction inappropriée ou non autorisée. Beaucoup d'outils et de pratiques visant à garantir la confidentialité des données sont identiques aux pratiques utilisées pour défendre l'intégrité de vos données.

Les outils qui augmentent votre cyber-résilience et contribuent à garantir l'intégrité des données sont notamment les suivants :

• Les sommes de contrôle ou les hachages sont des valeurs alphanumériques qui représentent de manière unique le contenu d'un fichier et sont fréquemment utilisées pour vérifier l'intégrité d'un fichier. Par exemple, un programme d'installation de fichiers qui a été téléchargé à partir d'un site Web externe.
• Les systèmes de contrôle de version (VCS) aident les utilisateurs à suivre l'historique de leurs fichiers, notamment les modifications apportées à leurs fichiers et le moment où ces modifications ont été effectuées.
  • Git est un exemple de VCS et GitHub est un site Web qui héberge des projets utilisant Git.
• Des sauvegardes de données fréquentes permettent de garantir que vos données sont restaurées à partir de leur état le plus récent.
  • Le fait d'effectuer des sauvegardes de données et d'établir des objectifs de temps de reprise (RTO) et des objectifs de point de reprise (RPO) permet de garantir qu'en cas de perturbation, le processus de reprise après incident sera beaucoup plus simple.
• Un coffre-fort virtuel permet de protéger vos données critiques contre les cyber-menaces malveillantes. Les coffres-forts virtuels fonctionnent comme une chambre forte isolée et sécurisée de stockage immuable. Des analyses surveillent vos données et détectent les menaces potentielles, les accès non autorisés ou d'autres problèmes similaires. Solution de cyber-recupération, les coffres-forts virtuels permettent de garantir que vos données sont propres, protégées et accessibles lorsque vous avez besoin de les restaurer.

SecurityScorecard explique qu'en maintenant l'intégrité, vous garantissez « la non-répudiation des informations et l'authenticité [de vos données] ».⁵ Le CSO partage un point de vue similaire et développe ce qu'est la non-répudiation en la définissant comme « [être] capable de prouver que vous avez maintenu l'intégrité de vos données, en particulier dans des contextes juridiques ».⁷

Qu'est-ce que la disponibilité ?

Si l'intégrité présente de nombreuses similitudes avec la confidentialité, la disponibilité est le reflet presque parfait de la confidentialité. La principale différence est que le concept d'intégrité porte sur les données auxquelles les utilisateurs non autorisés ne doivent pas avoir accès. Le concept de disponibilité concerne les données auxquelles les utilisateurs autorisés doivent pouvoir accéder.

L'établissement d'autorisations appropriées est un moyen de garantir l'accessibilité de vos données. Selon le CSO, vous pouvez garantir la disponibilité des données en « adaptant les ressources réseau et informatiques au volume d'accès aux données que vous prévoyez et en mettant en œuvre une bonne politique de sauvegarde à des fins de reprise après incident ».⁷

Garantir que vos données sont à la fois confidentielles et disponibles est un exercice d'équilibre que de nombreuses entreprises s'efforcent de maintenir. Comme pour l'intégrité, il convient d'établir un calendrier régulier pour la réplication et la sauvegarde de vos fichiers. Ces processus permettent de simplifier votre processus de reprise après incident et de garantir une reprise rapide. Outre la sauvegarde fréquente de vos fichiers, le CSO indique que pour garantir la disponibilité des données, vous devez « [adapter] les ressources réseau et informatiques au volume d'accès aux données que vous prévoyez ».⁷

Qu'est-ce que la reprise après incident en tant que service ?

La reprise après incident en tant que service (DRaaS) est un élément important de la disponibilité, car elle garantit que vous avez toujours accès à vos données, à vos actifs informatiques et à vos applications ou que, s'ils ne sont pas immédiatement disponibles, ils le seront rapidement.  

Dans son guide du marché de la reprise après incident en tant que service, Gartner indique que « la DRaaS est une excellente option pour les responsables de l'infrastructure et des opérations qui souhaitent améliorer de manière rentable la résilience de l'informatique, satisfaire aux exigences de conformité ou de réglementation et remédier aux insuffisances de ressources ».⁹

Techopedia définit la DRaaS comme « un modèle de service de cloud et de sauvegarde qui utilise les ressources du cloud pour protéger les applications et les données, [fonctionnant comme une seconde infrastructure qui apporte] à une entreprise une sauvegarde totale du système qui permet la continuité des activités en cas de défaillance du système ».¹⁰

IBM précise que la DRaaS « fournit une réplication continue des applications et infrastructures critiques, des données et des systèmes pour une reprise rapide après une panne informatique [et présente] les caractéristiques suivantes :

• Des [RTO] fiables, vérifiables et cohérents en quelques minutes et des [RPO] en quelques secondes
• Des architectures de solutions personnalisées [notamment] des combinaisons de cloud privé, public et hybride, de disques et de bandes »¹¹

IBM souligne également que la DRaaS permet de « soutenir la résilience de l'entreprise »¹⁰ et « fournit des services complets de reprise après incident, notamment des processus d'orchestration de la reprise après incident, une surveillance de la santé de la reprise après incident [et] une réplication continue des applications, de l'infrastructure, des données et des systèmes cloud ».¹²

« La DRaaS est souvent associée à un plan de reprise après incident (DRP) ou à un plan de continuité des activités (BCP) ».¹⁰ Si la DRaaS fonctionne correctement, les entreprises devraient être en mesure de poursuivre leurs processus quotidiens (malgré les perturbations ou les réparations nécessaires) en les exécutant sur des machines virtuelles.  

Gartner indique que le fournisseur de DRaaS « peut fournir le service sous la forme d'une offre entièrement gérée, d'une offre de récupération assistée ou d'un modèle SaaS (Software-as-a-Service) ».⁹ Le service DRaaS doit être « commercialisé et vendu comme une offre autonome et industrialisée et comprend les caractéristiques suivantes [au minimum] :  

• Cloud de récupération à la demande pour exercices planifiés et déclarations
• Réplication des images de serveurs et des données de production vers le cloud
• Basculement et rétablissement automatisés entre les sites et le cloud
• Accords de niveau de service relatifs au temps de reprise⁹

Resources

1. Five Key Technologies for Enabling a Cyber-Resilience Framework, ITC. octobre 2020.
   
2. Information Security (IS), Techopedia.
3. Information Security Resources, SANS.
4. Glossary of Key Information and Security Terms, NIST, mai 2013.
5. Cybersecurity, Techopedia.
6. The Difference Between Cybersecurity and Information Security, SecurityScorecard, 4 mai 2020.
7. What is information security? Definition, principles, and jobs, CSO, 17 janvier 2020.
8. Post-processing audit tools and techniques, U.S. Department of Commerce, National Bureau of Standards, octobre 1977.
   
9. Market Guide for Disaster Recovery as a Service, Gartner, 25 juin 2020.
10. Disaster Recovery as a Service (DRaaS), Techopedia.
11. Disaster recovery, Kyndryl.
12. DRaaS hybrid platform recovery, Kyndryl.