Comprendre la sécurité de l'information

Contexte

La sécurité de l'information est l'état de protection de vos ressources informationnelles* face aux risques identifiés. Cet état, aussi appelé « niveau de confiance », résulte de l'ensemble des mesures de sécurité prises par votre entreprise pour préserver la confidentialité, l'intégrité et la disponibilité de l'information que vous détenez, quelle que soit son support (papier, électronique, fichier pdf, etc.).

La sécurité de l'information englobe l'ensemble des systèmes d'exploitation,  réseaux de télécommunication, logiciels, applications, documents de même que la sécurité physique des lieux et des équipements, ainsi que la sécurité logique des applications et des données.

* Ressource utilisée par une entreprise ou une organisation, dans le cadre de ses activités de traitement de l'information, pour mener à bien sa mission, pour la prise de décision, ou encore pour la résolution de problèmes.
Une ressource informationnelle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, à l'acquisition, au développement, à l'entretien, à l'exploitation, à l'accès, à l'utilisation, à la protection, à la conservation et à la destruction des éléments d'information. Une ressource peut donc être une personne, un fichier ou le système informatique lui-même.
La plupart du temps, les termes ressource informationnelle, ressource d'information et ressource en information sont utilisés au pluriel (ressources informationnelles, ressources d'information et ressources en information). Ils désignent alors un ensemble de ressources qui peuvent être répertoriées dans l'actif informationnel de l'organisation. (source: OQLF2006)

PDF

Principe

Pour mettre en place de bonnes pratiques de gestion de l'information et implanter une politique de sécurité de l'information, les normes ISO 17799:2005 et ISO 27001:2005 peuvent vous servir de guide et de référence. La norme ISO 17799:2005 indique quoi protéger et la norme ISO 27001:2005 indique comment assurer la sécurité de l'information.

Pour réduire les risques, il faut, selon la norme ISO 17799:2005, définir ses objectifs de sécurité. Ceux-ci consistent à identifier les menaces, à déterminer les vulnérabilités et à procéder à l'analyse des risques identifiés en tenant compte des paramètres suivants : sensibilité des ressources informationnels de l'entreprise, impact économique des sinistres potentiels, probabilité de leur survenance et coût des mesures proposées.

La norme ISO 27001:2005 indique les conditions à remplir pour implanter, maintenir et améliorer le système de gestion de la sécurité de l'information (SGSI). Le modèle suggéré utilise une démarche d'amélioration continue qui comprend quatre étapes récurrentes :

• Planifier : définir le périmètre du SGSI, bâtir la politique de sécurité de l'information, procéder à l'évaluation des risques et préparer le plan d'action de sécurité.
• Réaliser : mettre en place le plan d'action de sécurité, sensibiliser et former le personnel à la sécurité de l'information.
• Vérifier : s'assurer que les mesures de sécurité mises en place sont efficaces, effectuer le contrôle des procédures, évaluer la fiabilité des données, réaliser périodiquement des audits du SGSI.
• Agir : mettre en place des mesures correctives et de préventions appropriées, implanter les améliorations du SGSI qui ont été identifiées.

Règles et bonnes pratiques

Pour vous aider à protéger vos informations et vos ressources, douze thèmes spécifiques, basés sur la norme ISO 17799:2005, vous informent des premières procédures à mettre en place, des bonnes pratiques à adopter et des solutions initiales en sécurité de l'information à appliquer en vue de vous protéger contre les principales menaces et vulnérabilités.

• Thème 1 – Organiser la sécurité de l'information : préciser les rôles, responsabilités et qualifications des gestionnaires, utilisateurs, contractuels et fournisseurs de services, propriétaires de ressources informationnelles. Réaliser une analyse de risque. Détailler également les mécanismes de sécurité à mettre en place pour assurer la sécurisation de l'accès des tiers aux informations et ressources de l'entreprise.
• Thème 2 – Bâtir une politique de sécurité de l’information : indiquer les éléments à considérer et le contenu de la politique de sécurité de l'information.
• Thème 3 – Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les actifs sont exposés et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable.
• Thème 4 – Gérer l'actif informationnel : procéder à l'inventaire des ressources informationnelles de l'organisation; leur déterminer un détenteur; les catégoriser; déterminer leur niveau de protection et établir les mesures de sécurité à mettre en place selon la sensibilité de leurs données et leur contexte d'utilisation.
• Thème 5 – Assurer la sécurité liée aux ressources humaines : indiquer au personnel les bonnes pratiques à utiliser pour protéger les renseignements confidentiels et nominatifs, faire un bon usage de leur équipement informatique selon les normes et les règles, et mettre en place un programme de sensibilisation à la sécurité de l'information de même qu'une procédure d'accueil des nouveaux employés.
• Thème 6 – Vérifier la conformité : décrire comment s'assurer du respect des lois, des réglementations et des exigences de sécurité, ainsi que de l'efficacité des procédures et des mesures de sécurité en place, en relation avec la politique de sécurité de l'information émise par votre entreprise.
• Thème 7 – Assurer la sécurité physique et environnementale : préciser les mesures à mettre en place pour sécuriser le matériel et éviter les accès non autorisés dans les locaux de même que des dommages pouvant affecter les actifs et les opérations quotidiennes.
• Thème 8 – Contrôler les accès : gérer et contrôler les accès logiques et physiques aux informations et ressources; détecter les activités non autorisées; préciser les règles à observer concernant l'identifiant et le mot de passe, de même que les autorisations reliées à votre profil d'accès.
• Thème 9 – Gérer l'exploitation et les télécommunications : indiquer comment sécuriser les moyens de traitement de l'information, les réseaux de télécommunications et les informations échangées avec vos partenaires et clients.
• Thème 10 – Gérer les systèmes d'information : indiquer les règles de sécurité à observer ou à exiger dans l'acquisition, le développement, l'implantation et l'entretien des systèmes d'information.
• Thème 11 – Gérer les incidents de sécurité : mettre en place un processus de gestion des incidents et dysfonctionnements de sécurité puis indiquer les comportements à adopter lors de la détection d'un incident ou d'un dysfonctionnement de sécurité.
• Thème 12 – Prévoir la continuité des activités : décrire les façons de faire pour élaborer un plan de continuité des activités critiques de votre entreprise.

Version imprimable (PDF 59 Ko)

Dernière mise à jour : 12 février 2007

Tous droits réservés © 2009 ISIQ │ Conditions d'utilisation │ Plan du site