Date de parution
Sécurité de l’information et disponibilité des données
En matière de sécurité de l’information, le plus grand dilemme auquel font face les entreprises est de déterminer ce qui est réellement nécessaire pour assurer la protection de leurs données. En l’absence d’une véritable démarche et d’une bonne compréhension de ses tenants et aboutissants, on choisit souvent d’investir au minimum en espérant que ce sera suffisant. Une décision arbitraire pouvant avoir des impacts catastrophiques sur les organisations.
Dans un article précédent, nous avons abordé les 4 objectifs de la sécurité de l’information où nous avons vu que vos décisions en matière de protection des données visent à assurer leur disponibilité, leur intégrité, leur confidentialité et leur traçabilité. Aujourd’hui, nous débutons une série de quatre articles où nous approfondirons chacun de ces concepts.
La disponibilité des données
L’Office québécois de la langue française définit la disponibilité des données comme étant : « Propriété d’un système informatique capable d’assurer ses fonctions sans interruption, délai ou dégradation, au moment même où la sollicitation en est faite. » Ce grand principe en matière de sécurité des données implique la mise en place de quatre fonctions et de leurs processus respectifs :
- surveiller
- prévenir
- réagir
- récupérer
La surveillance de vos systèmes et de la circulation de vos données est essentielle pour détecter rapidement les problèmes potentiels et surtout, y répondre.
Que ce soit une défaillance du réseau, un enjeu de performance ou une brèche potentielle de sécurité, votre équipe doit savoir ce qui se passe pour réagir rapidement et ainsi, garantir le maintien de la disponibilité de vos données ou, à tout le moins, minimiser l’interruption des services.
La prévention, elle, concerne tout ce qui touche les sauvegardes, la réplication des données et la redondance de vos systèmes. Voyez cet ensemble comme une copie conforme de vos systèmes d’informations pouvant prendre la relève partiellement ou totalement, sur demande, et de façon transparente pour vos usagers.
La récupération de vos données d’entreprise, c’est votre dernier retranchement, car même si vous surveillez les anomalies et y réagissez le plus adéquatement possible, personne n’est à l’abri d’une défaillance majeure ou d’un sinistre. C’est ici que vous mettrez en application votre plan de reprise des activités.
Comment déterminer le niveau de protection nécessaire
À moins d’avoir un budget illimité, vous devrez faire des choix et trouver l’équilibre entre les sommes engagées, vos besoins en matière de disponibilité de données, des risques encourus, de la réglementation, et surtout des impacts en cas de défaillances mineures comme majeures.
Voici les étapes à suivre pour vous guider dans vos réflexions :
Identifier les exigences métier
Déterminez tout d’abord les besoins et les attentes de votre organisation en ce qui concerne la disponibilité des données. Par exemple :
- Quels sont les processus critiques qui dépendent des données ?
- Est-ce que les données doivent demeurer disponibles en tout temps ou vous avez une certaine période de tolérance ? Si oui, laquelle ?
- Quels sont les impacts d’une indisponibilité prolongée de ces données ?
Un délai d’un jour dans le versement de vos paies, c’est une chose; une semaine s’en est une autre. Quel serait le délai acceptable? C’est sur ce type de situations sur lesquelles vous devez vous pencher, car les réponses à ces questions vous permettront d’établir vos cibles en matière de disponibilité.
Analyser les risques
Identifiez les menaces qui pourraient entraîner une indisponibilité des données et de vos systèmes d’information, telles que les pannes, les sinistres, les erreurs humaines, les cyberattaques, etc. Évaluez la probabilité de chaque risque et l’impact qu’il pourrait avoir sur vos données et vos opérations. Cela vous permettra de mieux déterminer les mesures à prendre en fonction de leurs importances.
Toutefois, ne négligez pas de prendre en considération la réglementation applicable à votre secteur et vos activités concernant la protection des données et vos obligations en matière de confidentialité. Les fautifs sont de plus en plus pénalisés sévèrement à ce chapitre. Vous devez en tenir compte dans votre évaluation et dans votre plan de protection. L’Union européenne vient d’ailleurs d’imposer une amende record de 1,2 milliard d’euros à Meta (Facebook) pour le non-respect de certaines dispositions du RGPD (Règlement général pour la protection des données personnelles).
Évaluer les coûts associés à un sinistre
À cette étape vous devez évaluer les coûts financiers et opérationnels qui peuvent résulter d’une interruption de vos services TI ou d’une compromission de vos données. Cela peut inclure des pertes de revenus, des pénalités réglementaires, une diminution de la productivité, une détérioration de la relation client, etc. C’est sans parler de l’atteinte à la réputation qui pourrait en découler. Un impact difficile à évaluer en terme monétaire, mais majeur. L’évaluation de ces coûts vous aidera à déterminer les niveaux de disponibilité et de récupération nécessaires pour minimiser les impacts d’une perturbation ou d’un sinistre.
Évaluer les capacités techniques et les ressources disponibles
Enfin, procédez à l’analyse de vos capacités actuelles pour assurer la disponibilité des données et la poursuite de vos activités. Vous devez évaluer si vous disposez des ressources techniques et humaines nécessaires pour mettre en œuvre et maintenir les dispositifs et les processus appropriés.
Une fois cet exercice complété avec votre équipe, vous aurez un portrait complet de votre position actuelle. Vous saurez quels moyens vous avez déjà à votre disposition, votre niveau de risque, mais surtout ce qu’il vous manque pour enrayer le plus possible ou à tout le moins minimiser les impacts potentiels, car le risque zéro n’existe pas. Il est beaucoup plus facile de prendre une décision éclairée et de justifier un investissement lorsque l’on sait clairement à quoi on s’expose et ce qu’on a à perdre comme organisation.
Il peut être utile de consulter des experts en matière de sécurité et de gestion des données pour obtenir des recommandations spécifiques à votre situation. Ils sauront vous orienter vers les solutions technologiques appropriées pour répondre aux objectifs tout en maximisant votre budget.
Ce que vous devez retenir
Dans un prochain article, nous verrons en quoi consistent l’intégrité des données et sa protection. Nous démystifierons ces grands concepts et élaborerons sur leur importance globale, mais aussi leur place en marge de la loi 25 sur la protection des renseignements personnels.
Restez au courant