Les organisations d'aujourd'hui doivent être prêtes à faire face à la menace des cyberattaques et des violations de données. Chaque secteur, société ou entreprise similaire doit s'efforcer de prévenir une attaque ou une perturbation, ainsi que toutes les conséquences importantes qui en découlent. Il peut s'agir de pertes financières, d'une incidence négative sur les activités et la conformité, ainsi que d'une atteinte à la réputation à long terme. Chacun de ces facteurs peut amener une entreprise à se détourner de ses activités et la placer en situation de désavantage concurrentiel. Dans son livre blanc, IDC Research indique que « le coût moyen des temps d'arrêt dépasse 200 000 dollars par heure ».1
Que pouvez-vous faire pour protéger votre organisation contre les cyberattaques et les violations de données ? Quels outils pouvez-vous utiliser pour renforcer votre résilience et améliorer vos chances de les éviter ? Comment allez-vous limiter leurs dégâts et réduire le temps de reprise ? La sécurité de l'information et la cybersécurité constituent deux moyens qui peuvent vous aider à protéger votre organisation contre les pirates informatiques qui lui feraient du tort.
Qu'est-ce que la sécurité de l'information ?
Techopedia note que la sécurité de l'information (InfoSec), parfois abrégée en IS en anglais ou appelée sécurité des données, vise à « protéger la confidentialité, l'intégrité et la disponibilité des données des systèmes informatiques contre les personnes mal intentionnées ».2 Il s'agit de sécuriser les données et d'empêcher tout accès non autorisé ou toute altération similaire lorsque les données sont stockées ou transférées d'un dispositif à un autre.
Selon l'institut SANS, la définition de l'InfoSec est plus large : « les processus et les méthodes conçus et mis en œuvre pour protéger les informations ou les données imprimées, électroniques ou de toute autre forme, confidentielles, privées et sensibles, contre tout accès, utilisation, abus, divulgation, destruction, modification ou perturbation non autorisés ».3
Le National Institute of Standards and Technology (NIST) définit brièvement la sécurité de l'information comme « la protection des systèmes d'information contre l'accès non autorisé ou la modification des informations ».4 Cependant, en se basant sur cette définition plus simple, le NIST l'élargit pour inclure l'action de protéger l'information « lors du stockage, du traitement ou du transfert, et contre tout refus de service aux utilisateurs autorisés, [et inclut] les mesures nécessaires pour détecter, documenter et contrer ces menaces ».4
Qu'est-ce que la cybersécurité ?
Technopedia définit la cybersécurité comme « des méthodes préventives utilisées pour protéger les informations contre le vol, la corruption ou les attaques [qui nécessitent] une compréhension des menaces potentielles pour l'information, telles que les virus et autres codes malveillants ».5 Le NIST définit la cybersécurité comme la « capacité à protéger ou à défendre l'utilisation du cyberespace contre les cyberattaques ».4 Security Scorecard simplifie la définition du NIST en déclarant que « la cybersécurité est liée aux attaques provenant de l'extérieur d'une organisation [et qu'il s'agit] du cadre de protection et de sécurisation de tout ce qui est vulnérable aux piratages, aux attaques ou aux accès non autorisés [spécifiques à la technologie] ».6
Voici quelques exemples de stratégies et d'outils que la cybersécurité utilise :
- Gestion des identités et des accès
- Gestion du risque
- Gestion des incidents
- Logiciels antivirus et anti-maliciels
- Correctifs logiciels
- Pares-feu
- Authentification à deux facteurs
- Chiffrement
En raison de la nature critique de la cybersécurité, il est essentiel pour une organisation de mettre en place un plan de cybersécurité complet. De nombreuses entreprises ont besoin de l'expertise approfondie d'un responsable de la sécurité (CSO) ou d'un responsable de la sécurité de l'information (CISO) pour superviser ces opérations.
InfoSec versus cybersécurité
On peut facilement considérer la sécurité de l'information et la cybersécurité comme des concepts généraux synonymes de cyberrésilience. Ces deux concepts impliquent la protection des informations, la gestion et la réduction des risques et des incidents perturbateurs, ainsi que la réduction de l'impact de tout incident perturbateur.
Cependant, ils ne sont pas interchangeables et il existe des différences claires entre les deux termes, qui tiennent à la manière dont les données sont stockées ou à la forme qu'elles prennent.
La sécurité de l'information concerne principalement la sécurisation des données, qu'elles soient numériques ou analogiques. À toutes fins utiles, la notion de sécurité de l'information peut s'appliquer aussi bien à la protection du contenu de votre coffre-fort qu'à la protection de toutes les données numériques de votre organisation. Il est important de disposer d'un pare-feu pour la sécurité de l'information, mais il en va de même pour les méthodes de protection des biens physiques, comme le fait de disposer de personnel de sécurité et de verrouiller les portes ou de prendre des mesures similaires pour limiter l'accès aux seuls employés qui doivent accéder à certaines zones.
SecurityScorecard note que « la cybersécurité [se rapporte] exclusivement à la protection des données qui ont une origine numérique, y compris les informations, les systèmes et les réseaux numériques ».6 C'est ce caractère exclusif de la cybersécurité pour les données numériques qui la distingue de la sécurité de l'information.
Le site Web du CSO propose une explication différente de la différence entre la sécurité de l'information et la cybersécurité, notant que « la cybersécurité est la pratique plus large de la défense des actifs informatiques contre les attaques, et la sécurité de l'information est une discipline spécifique faisant partie de la cybersécurité ».7 Pour approfondir cette notion, CSO précise que « la sécurité des réseaux et la sécurité des applications sont des pratiques sœurs de la sécurité de l'information [qui se concentrent] sur les réseaux et le code des applications, respectivement ».7
Application de la sécurité de l'information à la sécurité des centres de données
En ce qui concerne les applications pratiques de la sécurité de l'information, pensez à la sécurité des centres de données, qu'ils soient gérés par une organisation directement ou par son fournisseur de services infonuagiques. Les centres de données sont très complexes et nécessitent à la fois une sécurité physique et une sécurité logicielle ou virtuelle. La conception, la disposition et l'emplacement du bâtiment du centre de données sont souvent incorporés dans les stratégies de sécurité physique, y compris la localisation du centre de données loin des routes principales et la création de zones tampons autour du centre de données. D'autres techniques et outils permettant d'optimiser la sécurité physique d'un centre de données sont, par exemple :
- Agents de sécurité, caméras et systèmes d'alarme
- Authentification à deux facteurs, cartes de vérification d'identité personnelle (PIV) et codes d'accès personnels
- Lecteurs de badges et systèmes biométriques, tels que lecteurs d'empreintes digitales, logiciels de reconnaissance faciale et lecteurs optiques de l'iris
La sécurité physique permet non seulement d'empêcher les accès non autorisés, mais aussi d'éviter que le centre de données ne soit endommagé à la suite d'une catastrophe ou d'une perturbation similaire. Par exemple, s'il y a eu une panne de courant massive et que le courant n'a pas été rétabli rapidement, il est difficile de mettre en place un refroidissement adéquat pour tous les serveurs du centre de données, ce qui endommage les serveurs. Cependant, l'utilisation de redondances, telles que des sauvegardes de courant supplémentaires et des systèmes de refroidissement qui fonctionnent plus longtemps en utilisant moins de courant, permet d'éviter les dégâts et de garantir l'intégrité des serveurs.
Alors que la sécurité physique utilise différents outils et techniques pour assurer la sécurité d'un centre de données et celle de ses données, les processus de sécurité logicielle utilisent des outils et techniques numériques. Ces outils et techniques numériques empêchent tout accès non autorisé au réseau du centre de données, notamment tout ce qui pourrait endommager le centre de données ou entraîner le vol ou l'accès non autorisé à ses données. Les outils de gestion des informations et des événements de sécurité (SIEM) permettent d'assurer la surveillance et la gestion du centre de données en temps réel. Ils peuvent être utilisés pour contrôler les personnes qui ont accès aux différentes parties du centre de données et à ses données, ainsi que les systèmes d'alarme et les capteurs dans tout le centre de données.
Avant de déployer un élément quelconque sur le réseau du centre de données, il faut l'analyser et l'évaluer pour déterminer s'il présente un risque pour l'intégrité du réseau du centre de données. Ces analyses visent généralement à détecter des logiciels malveillants ou des éléments de logiciel ou de code similaires.
Quels sont les principes fondamentaux de la sécurité de l'information ?
Mentionnée pour la première fois dans une publication du NIST en 1977,8 ce que l'on appelle communément la triade de CIA est constituée des principes fondamentaux qui composent le cœur battant de la sécurité de l'information. Ces trois principes sont :
- Confidentialité
- Intégrité
- Disponibilité
Qu'est-ce que la confidentialité ?
Sans doute l'élément le plus étroitement lié à la sécurité de l'information, la confidentialité désigne l'action de protéger la vie privée et de restreindre la divulgation et l'accès aux données, aux informations, aux logiciels ou à d'autres éléments similaires. CSO note que pour maintenir la confidentialité, la sécurité de votre système informatique doit « être capable d'identifier les personnes qui tentent d'accéder aux données et de bloquer toute tentative des personnes non autorisées ».7 Voici quelques outils qui permettent de renforcer la cyberrésilience et de garantir la confidentialité des données :
- Authentification à un facteur (SFA), authentification à deux facteurs (2FA), authentification à plusieurs facteurs (MFA) et autres types d'authentification similairs
- Authentification par mot de passe (type d'authentification le plus courant)
- Chiffrement symétrique et chiffrement asymétrique
- Produits et services de gestion des identités et des accès
Qu'est-ce que l'intégrité ?
L'intégrité consiste à maintenir les données en homéostasie et à les protéger contre toute modification ou destruction inappropriée ou non autorisée. De nombreux outils et pratiques visant à garantir la confidentialité des données sont identiques aux pratiques utilisées pour défendre l'intégrité de vos données.
Les outils qui renforcent la cyberrésilience et contribuent à garantir l'intégrité des données sont notamment les suivants:
- Les sommes de contrôle ou les hachages sont des valeurs alphanumériques qui représentent de manière unique le contenu d'un fichier et sont fréquemment utilisées pour vérifier l'intégrité d'un fichier. Par exemple, un installateur de fichiers téléchargé à partir d'un site Web externe.
- Les systèmes de contrôle de version (VCS) aident les utilisateurs à suivre l'historique de leurs fichiers, notamment les modifications apportées à leurs fichiers et la date de ces modifications.
- Git est un exemple de VCS et GitHub est un site web qui héberge des projets utilisant Git.
- Des sauvegardes de données fréquentes permettent de garantir que vos données sont restaurées à partir de leur état le plus récent.
- Le fait d'effectuer des sauvegardes de données et d'établir des objectifs de temps de reprise (OTR) et des objectifs de point de reprise (OPR) permet de garantir qu'en cas de perturbation, le processus de reprise après sinistre sera beaucoup plus simple.
- Un coffre-fort virtuel permet de protéger vos données critiques contre les cybermenaces malveillantes. Les coffres-forts cybernétiques fonctionnent comme une chambre forte isolée et sécurisée de stockage immuable, avec des scans analytiques qui surveillent vos données et détectent les menaces potentielles, les accès non autorisés ou d'autres problèmes similaires. En tant que solution de reprise d'activité, les coffres-forts cybernétiques permettent de garantir que vos données sont propres, protégées et accessibles lorsque vous avez besoin de les restaurer.
SecurityScorecard indique qu'en maintenant l'intégrité, vous garantissez « la non-répudiation des informations et l'authenticité [de vos données] ».5 CSO partage un point de vue similaire et développe ce qu'est la non-répudiation en la définissant comme « [être] capable de prouver que vous avez maintenu l'intégrité de vos données, en particulier dans des contextes juridiques ».7
Qu'est-ce que la disponibilité ?
Si l'intégrité présente de nombreuses similitudes avec la confidentialité, la disponibilité est le reflet presque parfait de la confidentialité. La principale différence est que le concept d'intégrité porte sur les données auxquelles les utilisateurs non autorisés ne doivent pas avoir accès. Le concept de disponibilité concerne les données auxquelles les utilisateurs autorisés doivent pouvoir accéder
.
L'établissement de permissions appropriées est un moyen de garantir l'accessibilité de vos données. Selon CSO, vous pouvez garantir la disponibilité des données en « adaptant les ressources réseau et informatiques au volume d'accès aux données que vous prévoyez et en mettant en œuvre une bonne politique de sauvegarde à des fins de reprise après sinistre ».7
La garantie de la confidentialité et de la disponibilité des données est un exercice délicat pour de nombreuses
organisations. Comme pour l'intégrité, établissez un calendrier régulier pour répliquer et sauvegarder vos fichiers. Ces processus permettent de rationaliser votre processus de reprise après sinistre et de garantir une reprise rapide. En plus de sauvegarder fréquemment vos fichiers, CSO indique que pour garantir la disponibilité des données, vous devriez « [adapter] les ressources réseau et informatiques au volume d'accès aux données que vous prévoyez ».7
Qu'est-ce que la reprise après sinistre en tant que service ?
La reprise après sinistre en tant que service (DRaaS) est un élément important de la disponibilité, car elle garantit que vous avez toujours accès à vos données, à vos actifs informatiques et à vos applications ou que, s'ils ne sont pas immédiatement disponibles, ils le seront rapidement.
Dans son guide du marché de la reprise après sinistre en tant que service, Gartner note que « la solution DRaaS est une excellente option pour les responsables de l'infrastructure et des opérations qui souhaitent améliorer de manière rentable la résilience de l'informatique, répondre aux exigences de conformité ou de réglementation, et remédier aux insuffisances de ressources ».9
Techopedia définit la solution DRaaS comme « un modèle de service infonuagique de sauvegarde qui utilise les ressources du nuage pour protéger les applications et les données, [fonctionnant comme une deuxième infrastructure qui donne] à une organisation une sauvegarde totale du système permettant d'assurer la continuité des activités en cas de défaillance du système ».10
Selon IBM, la solution DRaaS « fournit une réplication continue des applications et des infrastructures, des données et des systèmes essentiels pour une reprise rapide après une panne informatique [et comprend] les fonctionnalités suivantes:
- [OTR] fiables, vérifiables et cohérents en quelques minutes et [OPR] en quelques secondes
- Architectures de solutions personnalisées [y compris] des combinaisons de nuages privés, publics et hybrides, de disques et de bandes »11
Selon IBM, la DRaaS permet de « soutenir la résilience de l'entreprise »10 et « fournit des services complets de reprise après sinistre, notamment des processus d'orchestration de la reprise après sinistre, une surveillance de la santé de la reprise après sinistre [et] une réplication continue des applications, de l'infrastructure, des données et des systèmes en nuage ».11
« La solution DRaaS est souvent associée à un plan de reprise après sinistre (PRS) ou à un plan de continuité des activités (PCA) ».10 Si la solution DRaaS fonctionne correctement, les organisations devraient pouvoir poursuivre leurs processus quotidiens, malgré les perturbations ou les réparations nécessaires, en les exécutant sur des machines virtuelles (VM).
Gartner note que le fournisseur de DRaaS « peut fournir le service sous la forme d'une offre entièrement gérée, d'une offre de récupération assistée ou d'un modèle de logiciel en tant que service (SaaS) ».9 e service DRaaS devrait être « commercialisé et vendu comme une offre autonome et industrialisée et inclure les caractéristiques suivantes [au minimum] :
- Nuage de reprise à la demande pour les exercices et déclarations planifiés
- Réplication de l'image du serveur et des données de production vers le nuage
- Basculement et retour automatique entre les locaux et le nuage
- Accords de niveau de service (ANS) sur le temps de reprise9
Ressources
- Cinq technologies clés pour la mise en place d'un cadre de cyberrésilience, ITC. Octobre 2020.
- Sécurité de l'information (SI), Techopedia.
- Ressources de la sécurité de l'information, SANS.
- Glossaire des informations clés et des termes de sécurité, NIST, mai 2013.
- Cybersécurité, Techopedia.
- La différence entre la cybersécurité et la sécurité de l'information, SecurityScorecard, 4 mai 2020.
- Qu'est-ce que la sécurité de l'information ? Définition, principes et métiers, OSC, 17 janvier 2020.
- Outils et techniques d'audit après traitement, ministère du Commerce des États-Unis, Bureau national des normes, octobre 1977.
- Guide du marché pour la reprise après sinistre en tant que service, Gartner, 25 juin 2020.
- Reprise après sinistre en tant que service (DRaaS), Techopedia.
- Récupération de plate-forme hybride, Kyndryl.