La triade de la sécurité de l’information

On dit souvent que les entreprises deviennent sérieuses sur la sécurité après qu’une catastrophe ait affecté leur résultat opérationnel. La sécurité de l’information a trois caractéristiques fondamentales -  disponibilité, confidentialité et intégrité -  mais ces trois aspects n’ont pas encore la même importance auprès des entreprises.

Traditionnellement, nous avons pris en compte la dimension de disponibilité. C’est la caractéristique qui « parle » aux directions métiers. Si le système n’est pas disponible, l’entreprise s’arrête. Beaucoup de sociétés ont investi des sommes importantes dans des plans de reprises d’activité, des systèmes redondants à haute disponibilité, des utilitaires de sauvegarde et récupération des données.  Et c’est au premier incident réel impliquant l’indisponibilité des systèmes qui a permis de calibrer et de justifier ces investissements.  

Aujourd’hui, la confidentialité des données est le sujet à la mode en matière de sécurité. La publicité récente autour d’incidents à grande échelle d’espionnage dans la diffusion non autorisées d’informations confidentielles ou dans le vol de millions d’enregistrements de cartes de crédit de clients a sensibilisé les directions générales et opérationnelles sur la valeur du capital informationnel de l’entreprise. De même, la multiplication des systèmes embarqués qui se connectent sur Internet et échangent des informations avec les systèmes informatiques renforce cette perception de besoin de confidentialité. Votre  téléphone portable, votre box ADSL à votre domicile, ou demain votre voiture échangent beaucoup d’informations confidentielles avec une multitude de systèmes. La confidentialité se décline également en protection de données personnelles. Ce dernier point a amené un vaste débat à la Commission Européenne montrant de fortes divergences entre la vision libérale des fournisseurs de technologie et celle plus protectrice des parlementaires. Et ici également les entreprises sont sensibles à leur conformité réglementaire par rapport aux autorités.

Demain, le débat se focalisera sur la dernière caractéristique : l’intégrité. Si vous pensez que c’est mal de voler des données, attendez que quelqu’un vous les modifie. Mais dans ce cas, il sera vraisemblablement trop tard, vous aurez mis la clé sous la porte. Le vol de données est  aujourd’hui problématique mais avez-vous considéré l’impact d’une simple modification des données ? Que faire si vous trouvez que votre flux de données, le sang de l’entreprise, est pollué avec des informations soit inexactes ou intentionnellement trompeuses ? Il vous faut garantir l’intégrité des données que vous échangez avec vos partenaires. En plus le réseau complexifie l’équation. Pouvez-vous faire confiance aux données que vous manipulez ? Pouvez-vous garantir les données diverses et volatiles issues de processus complexes, générées sur des terminaux mobiles et gérées sur des infrastructures externalisées ?

C’est la bataille qui s’annonce. Elle nécessite de nouvelles compétences et de nouvelles technologies de sécurité. En interne, elle nécessite la mise en place d’une politique d’intégrité propre à l’entreprise. Pour l’externe, elle nécessite l’élaboration d’une stratégie de gestion des risques liés à l’intégrité.