Sécurité de l’information ou sécurité informatique?

Mis à jour le 11 aout 2014. Le nombre de contrôles a été mis à jour pour correspondre à la version 2013 de la norme ISO27001.

On pourrait croire que ces termes sont synonymes – après tout, la sécurité de l’information ne concerne-t-elle pas surtout les ordinateurs?

Pas exactement. Le fait fondamental est le suivant : vous pouvez avoir des mesures de sécurité informatiques parfaites mais un seul acte malveillant réalisé, par exemple par un administrateur système, peut mettre tout le système informatique en panne. Ce risque n’a rien à voir avec les ordinateurs, mais avec les personnes, les processus, la supervision, etc.

De plus, les informations importantespourraient bien ne pas se trouver sous une forme digitale. Elles peuvent être sur papier : un contrat important signé avec votre plus gros client, des notes personnelles du directeur général, le mot de passe administrateur mis à l’abri dans un coffre (1).

Donc, comme je le dis toujours à mes clients : la sécurité informatique c’est 50% de sécurité de l’information parce que la sécurité de l’information comprend également la sécurité physique, ma gestion des ressources humaines, la protection légale et juridique, l’organisation, les processus etc. L’objet de la sécurité de l’information est de construire un système qui tienne compte de tous les risques possibles pour la sécurité de l’information (liés à l’informatique ou non) et de mettre en œuvre des contrôles exhaustifs qui réduisent toutes les sortes de risques inacceptables.

Cette approche intégrée de la sécurité de l’information est bien définie dans la norme ISO 27001, la norme internationale majeure pour le management (2) de la sécurité de l’information. En bref, la norme exige une évaluation des risques sur tous les actifs de l’organisation (y compris matériel, logiciel, documentation, personnel, fournisseurs, partenaires, etc.) et de choisir les contrôles acceptables pour réduire ces risques.

ISO27001 propose 114 contrôles dans son annexe A. J’ai réalisé une brève analyse des contrôles et les résultats sont les suivants :

  • contrôles liés à l’informatique : 36.84%
  • contrôles liés à l’organisation et à la documentation : 35.96%
  • contrôles de sécurité physique (et environnementale) : 13.16%
  • protection légale : 4.39%
  • contrôles relatifs aux relations avec les fournisseurs et les clients : 4.39%
  • contrôles portant sur la gestion des ressources humaines : 5.26%

Qu’est-ce que cela signifie en termes de mise en œuvre de la sécurité de l’information / ISO27001 ? Ce genre de projet ne devrait pas être vu comme un projet informatique, car toutes les parties de l’organisation pourraient ne pas vouloir participer (ou se sentir concernées). Il faut le voir comme un projet d’entreprise dans lequel les personnes concernées des différents départements devraient être impliquées – direction générale, personnel informatique, experts légaux, responsables des ressources humaines, personnel responsable de la sécurité physique, le ‘métier’ de l’organisation, etc. Sans cette approche vous resterez focalisé sur la sécurité informatique et cela ne vous protègera pas contre les plus grands risques.

Vous pouvez également suivre notre webinaire ISO 27001 Foundations Part 3 : Annex A overview.

Nous remercions Jean-Luc Allard pour la traduction française.

(1) Sans oublier la forme ‘orale’

(2) Je préfère traduire ‘management’ par ‘management’ car le terme ‘gestion’ est trop souvent pris dans un sens restrictif.

Advisera Dejan Kosutic
Auteur
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tags: #mesures