Aller au contenu

Date de parution

4 objectifs de la sécurité de l’information

Il existe une aura de complexités gravitant autour de la sécurité de l’information en entreprise. Nous croyons, souvent à tort, qu’il faut être un professionnel chevronné qui lui a dédié sa carrière pour en saisir toutes les nuances.

Pourtant non, car même s’il est question ici de gestion d’univers numériques, ce sont toujours vos stratégies d’affaires qui doivent prédominer et non la technologie. La sécurité, c’est le casque, les genouillères et les gants; pas le vélo. Les objectifs visés par tous processus dédiés à la sécurisation des données sont toujours les mêmes, peu importe vos stratégies d’affaires. Ce sont leurs importances qui varient selon le niveau de criticité de vos données, les risques encourus et les impacts en cas de problèmes. C’est en fonction de ces facteurs que vous devez appliquer les solutions appropriées pour atteindre vos objectifs de disponibilité, d’intégrité, de confidentialité et de traçabilité de vos données.

Disponibilité

Vous devez garantir l’accès à vos applications et vos données d’entreprise aux personnes qui doivent y accéder au moment où elles en ont besoin. Cela peut sembler simpliste comme énoncé, mais sachez que c’est le niveau de disponibilité requis qui impactera directement votre stratégie en matière de sécurité. Une heure de non-disponibilité pour une entreprise de commerce en ligne mondiale n’a pas le même impact qu’un système RH non accessible un vendredi soir.

Vous comprendrez que les efforts que vous devez mettre pour garantir la disponibilité de vos systèmes sont directement proportionnels au niveau d’accessibilité dont vous avez besoin pour conduire vos affaires de façon optimale.

Intégrité

En technologies de l’information lorsqu’on parle d’intégrité des données, on implique ici les dispositifs visant à garantir que les données n’ont subi aucune modification, quelle qu’elle soit. Elles doivent demeurer valides, fiables et exactes durant tout leur cycle de vie. L’intégrité des données peut être compromise de différentes façons. Cela va du piratage à la bête erreur humaine.

Vous devez donc vous assurer que seules les personnes avec les compétences et autorités nécessaires puissent accéder à vos systèmes. Les anomalies doivent être identifiées et réglées sur le champ et lorsque le pire arrive, vos données doivent être récupérables dans leurs intégralités dans des délais qui impacteront au minimum votre continuité des affaires.

Intégrité

Confidentialité

C’est ici qu’entre en jeu votre politique sur la protection des renseignements personnels et d’entreprise, car vos données doivent être accessibles uniquement aux personnes autorisées. Votre politique vise donc à énoncer les règles pour la collecte, l’utilisation et la divulgation des renseignements. Plus une information est critique ou sensible, plus les restrictions doivent être grandes.

Afin d’appliquer ces règles et ainsi garantir au maximum cette confidentialité, vos usagers doivent être identifiés et validés; vos données chiffrées et surveillées pendant leurs transmissions entre les différents systèmes. Toute anomalie doit être détectée et immédiatement, corrigée.

Confidentialité

Traçabilité

La traçabilité permet de retrouver l’origine et de suivre le parcours d’une donnée aux différents stades de son cheminement. Ainsi, on conserve les traces des mouvements de l’information et de son état. C’est grâce à la traçabilité que l’on peut s’assurer que les critères de disponibilité, d’intégrité et de confidentialité ont été respectés. Elle permet également de déceler les failles potentielles et de les corriger.

Ses plus gros avantages demeurent ses capacités d’analyser la cause et les impacts entrainés par une modification de données, deux éléments critiques influençant votre stratégie de gouvernance et de conformité.

Tracabilité

Ne pas négliger la loi 25

En matière de sécurité de l’information, plusieurs entreprises sont déjà assujetties à différentes législations. Nous n’avons qu’à penser au Règlement général sur la protection des données (RGPD) de l’Union européenne ou à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRDE) au Canada. Sachez que depuis septembre 2022, toutes les entreprises au Québec doivent être conformes aux dispositions prévues par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25, anciennement Projet de loi n° 64).

Cette loi a pour objectif d’offrir un meilleur contrôle aux citoyens sur leurs renseignements personnels. Il est nécessaire pour votre entreprise de s’y attarder dès maintenant afin d’atteindre les cibles de conformité selon les échéanciers dictés par la nouvelle législation. Vous aurez deviné que son entrée en vigueur aura un impact direct sur votre gestion de la sécurité de l’information, vos processus et par ricochet, vos outils.

L’une des menaces de cybersécurité les plus risquées contre votre organisation est le partage de contenu sur vos applications M365 telles qu’Outlook, SharePoint, Teams et OneNote. Découvrez vos responsabilités partagées avec Microsoft et les solutions disponibles pour protéger vos données, votre entreprise et vos employés.

Vos outils pour sécuriser votre entreprise

Vous avez déterminé les niveaux de criticité de vos différentes données, les risques encourus et les impacts en cas de pépins. En conformité avec la législation en vigueur, vous avez établi vos cibles en matière de disponibilité, d’intégrité, de confidentialité et de traçabilité des données. Il est maintenant temps de faire intervenir la technologie. C’est enfin le moment de choisir les moyens appropriés et suffisants pour atteindre vos objectifs.

On dénombre une soixantaine de catégories d’outils qu’on peut répartir en six grandes familles. Il y a donc des milliers de combinaisons possibles qui justifient l’importance d’avoir fait votre réflexion en amont.

  1. Gestion des identités et des accès : Microsoft Active Directory par exemple;
  2. Surveillance: Système de détection d’intrusion, performance du réseau;
  3. Technologies de détection et de remédiation : pare-feu, antivirus, antipourriel, anti-logiciel espion;
  4. Encryptions : Authentification forte, chiffrement;
  5. Continuité des affaires : Sauvegarde et restauration de données;
  6. Sécurité applicative : Recherche de vulnérabilités, revue de code.

Dans la sélection de vos outils, ne vous laissez par attirer par tout ce qui brille. Tenez-vous-en à votre plan et à vos objectifs. Les moyens à prendre doivent donc demeurer proportionnels à votre évaluation de vos niveaux de criticité, de risques et d’impacts. Ayez toujours cela en mémoire et vos investissements conserveront leurs pertinences.

Votre stratégie et vos politiques en matière de sécurité de l’information sont des éléments clés pour assurer la réalisation de la vision et de la mission de votre entreprise. En plus d’avoir un impact majeur au niveau de votre compétitivité et de la productivité de vos équipes, elle assure également la pérennité du savoir de votre organisation.

Pour en apprendre davantage sur les différentes solutions de sécurité proposées par ITI, vous pouvez consulter nos sections consacrées à la gestion des accès et des identités et à la gestion des appareils.

La sécurité de vos données vous préoccupe?

Nos experts démocratisent les TI pour vous.

Sur les médias sociaux

pop up infolettre

Infolettre ITI

Contenus d’experts et réalités d’affaires.