Quels sont les 4 critères de sécurité de l'information ?
L’une des plus grandes menaces d’une entreprise est liée à la sécurité de ses données. Il est donc essentiel d’évaluer son système d’information pour éviter tout risque de perte, vol ou dégradation de ces informations souvent sensibles et confidentielles. Pour cela, il existe des piliers permettant la protection des données de votre entreprise. Quels sont les 4 critères de sécurité de l’information ? Comment mettre en place une stratégie de protection informatique solide ? Découvrez nos conseils dans cet article.
Quels sont les 4 piliers de la sécurité informatique ?
La DICP
Autrefois connue sous la dénomination DICT, cette méthodologie est désormais appelée DICP pour Disponibilité, Intégrité, Confidentialité et Preuve. Il s’agit d’un protocole permettant de garantir un niveau de sécurité informatique optimale pour vos données d’entreprise, tout en l’armant de preuves en cas de dysfonctionnement du système.
1. La confidentialité
Le premier pilier presque élémentaire qui vient consolider la stratégie de sécurité informatique est la confidentialité. La confidentialité permet de définir qui est autorisé à accéder aux données stockées dans votre entreprise. Ainsi vous définissez clairement les personnes habilitées à avoir accès aux données stockées.
Rappelons que la plupart des données collectées, stockées et traitées sont des informations le plus souvent sensibles, confidentielles, telles que : des données médicales, des bulletins de salaire, des informations stratégiques (stratégie d’entreprise, bilan comptable), etc.
Il est donc nécessaire, pour mettre en place une politique de confidentialité optimale, de gérer les différents niveaux d’accès aux données entre salariés, externes et sous-traitants.
2. L’intégrité
L’intégrité du système de sécurité passe également en premier plan. On parle d’intégrité des données lorsqu’elles sont exactes, cohérentes et exhaustives. S’il y a atteinte à l’information, qu’il s’agisse d’un incident technique, d’une faille humaine ou d’une attaque informatique malveillante, et que la donnée est modifiée de manière illégitime, l’entreprise devra alors la corriger au plus vite.
À titre d’exemple, l’une des données les plus sensibles qui nécessitent une intégrité totale est l’information de santé, parmi d’autres. Les systèmes d’informations de l’entreprise qui traitent ces données doivent pouvoir garantir une intégrité et une sécurité optimale dans le temps, quels que soient leurs lieux de stockage et d’affichage de l’information.
Les questions à se poser autour de l’intégrité de la donnée peuvent être :
- pourquoi avez-vous besoin que vos informations soient fiables et complètes ?
- quelle est la durée de vie des données ?
- qui a l’autorisation de modifier une donnée, et pour quel motif ?
- avez-vous des solutions à mettre en place (mises à jour, installations) pour permettre de garantir la fiabilité et l’intégrité de vos données ?
3. La disponibilité
Le 3e pilier de la sécurité informatique repose sur la disponibilité du système d’information et de ses données. Cela signifie que vous devez établir une stratégie claire pour définir les informations nécessaires au traitement de la donnée : quand en avez-vous besoin ? En combien de temps pouvez-vous y accéder ? Comment voulez-vous utiliser cette donnée ? Quelle conséquence y aurait-il si vous veniez à la perdre ?
Toutes ces questions relèvent de la sécurité informatique en entreprise. Les réponses que vous apportez vous permettent ainsi de déterminer le niveau de disponibilité du système d'information : une disponibilité élevée signifie que vos données sont accessibles constamment par les utilisateurs autorisés, et par finalité, qu’aucune perte d’accès aux informations ne peut être tolérée. Si cette disponibilité est ainsi élevée, votre entreprise devra prendre toutes les mesures nécessaires (installations, mises à jour, prévention) pour garantir une sécurité d’accès optimale, et ce, quel que soit le danger (cyberattaque, incident technique, etc.).
Les infrastructures, les logiciels, le matériel et les systèmes de sécurité et accès au réseau sont donc directement concernés par la nécessité d’une protection efficace pour éviter tout risque de perte, vol ou détérioration de ces accès aux données.
4. La preuve
Dernier élément clé d’une sécurité informatique solide : la preuve. Anciennement appelée traçabilité, d’où le T dans le DICT, on l’appelle désormais preuve, terme plus vaste. D’après l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d'Information), la preuve permet d’établir le point de départ d’une investigation en cas d’incident de sécurité, de dysfonctionnement ou encore de vol de données. La preuve est un pilier essentiel, notamment dans un cas de transaction financière, par exemple les cas de signatures électroniques.
Un système d’évaluation
Selon le secteur d’activité de votre entreprise, et donc des données à sécuriser, le niveau d’importance donné à chacun des critères DICP ne sera pas le même, tout comme les mesures pour les appliquer.
Afin d’évaluer le niveau de sécurité informatique, on utilise une valeur numérique comprise entre 0 et 4, 0 ayant une criticité faible, et 4 une criticité forte. Par exemple, si un DCIP est de 0, 4, 1, 4, il y aura :
- un niveau de sécurité informatique faible concernant la confidentialité (0) et la disponibilité (1) ;
- mais un niveau fort concernant l'intégrité (4) et la preuve (4).
Cette évaluation permet de trouver des solutions pour mettre en place la DICP dans l’entreprise. Vous pouvez évidemment faire en sorte d’obtenir un score 4 sur l’ensemble des piliers, mais cela a un coût. Il est donc important de réaliser un audit préalable pour savoir ce dont votre entreprise a besoin.
Comment rédiger une PSSI ?
But d’un PSSI
Une Politique de Sécurité du Système d'Information (PSSI) est un document qui définit clairement et de manière transparente les différentes règles et procédures d’utilisation des actifs de votre entreprise. Cette PPSI vise principalement les utilisateurs, mais aussi le personnel chargé des technologies d’information et de la sécurité.
La PPSI reprend 3 des 4 piliers de la DICP : la confidentialité, l’intégrité et la disponibilité. Ces trois éléments fondamentaux sont appelés Triade de la CIA dans la PSSI.
La nécessité d’avoir une PSSI
Posséder un document écrit qui définit les règles et les politiques de sécurité informatique de votre entreprise est essentiel pour plusieurs raisons.
| Raisons d’avoir une PSSI | Caractéristiques |
|---|---|
|
Comportement de l’utilisateur final |
La PSSI apporte les règles d’utilisation applicables sur les systèmes informatiques de l’entreprise, mais aussi les sanctions en cas de non-respect. L’utilisateur doit être informé de ses droits, devoirs, mais aussi de ses interdictions concernant l’utilisation des données de l’entreprise. |
|
Maintien de l’activité de l’entreprise |
En cas d’incident technique ou de cyberattaque, l’entreprise peut voir son activité perturbée. La PSSI contribue à réduire ce type de risques et/ou à résoudre les problèmes et limiter les dégâts s’ils se produisent. |
|
Gestion des risques |
La PSSI détermine les modalités d’accès aux ressources informatiques ainsi que leur utilisation. Elle permet également d’établir un niveau de risque et de faille auquel pourrait être confrontée l’entreprise. |
|
Conformité réglementaire |
La PSSI fait partie des obligations légales de l’entreprise, imposée par le GDPR et l’ISO, afin de maintenir la conformité réglementaire. |
|
Contrôle des incidents |
Elle définit les actions à mettre en place immédiatement en cas d’incident de sécurité afin de réagir vite et bien. |
Les éléments stratégiques d’une PSSI
Les éléments stratégiques des PSSI permettent de définir un périmètre d’action. Ils permettent d’établir des actifs matériels et immatériels, mais aussi les besoins des ressources humaines associés à la politique de sécurité des systèmes informatiques. Elle devra contenir toutes les contraintes, mais aussi toutes les menaces pouvant peser sur votre activité.
La rédaction d’une PSSI en pratique
Tableau exemple pour le plan de votre PSSI
| Stratégie | |
|---|---|
|
Périmètre de la PSSI |
Enjeux stratégiques |
|
Niveau des besoins |
Sécurité |
|
Origines des menaces |
Légalité et réglementations |
|
Règles de sécurité |
|
|
Organisation |
|
|
Politique de sécurité |
Organisation de la sécurité |
|
Assurances et certifications |
Gestion des risques des systèmes de sécurité informatiques (SSI) |
|
Sécurité |
|
|
Mise en œuvre |
|
|
Éléments humains |
Gestion des incidents |
|
Sensibilisation et formation |
Planification de la continuité de l’activité de l’entreprise |
|
Exploitation |
Éléments physiques et environnement |
|
Technique |
|
|
Authentification |
Identification |
|
Contrôle d’accès (logistique) |
Journalisation |
|
Plan d’action |
|
|
Charte informatique |
Surveillance et alertes |
|
Gestion des équipements |
Sauvegardes |
|
Politique antivirale |
Gestion des accès |
|
PRA (Plan de Reprise d'Activité) |
PCA (Plan de Continuité d'Activité) |
|
Isolement des Flux |
Roadmap |
La matrice DICP en lien avec une Politique de Sécurité des Systèmes Informatiques est donc essentielle pour protéger vos données et votre entreprise. Par ailleurs, réaliser un audit préalable est nécessaire pour vérifier les besoins de votre société et adapter l'évaluation des 4 piliers de votre sécurité informatique.
À lire également
Découvrir tous les articles
Cyber
Comment se protéger des arnaques en ligne ?
Internet offre des opportunités mais aussi des risques, comme les arnaques. Soyez vigilant : vérifiez les conditions, évitez de divulguer vos infos, signalez toute fraude et partagez vos expériences pour protéger votre communauté.
Cyber
Comment sécuriser un réseau informatique ?
Protéger son entreprise demande une sécurité informatique robuste. Sensibiliser le personnel, sauvegarder régulièrement les données et utiliser des VPN sont essentiels.
Grâce à notre expertise, vous bénéficiez de solutions parfaitement adaptées à votre situation, sans avoir à jongler entre de multiples interlocuteurs.
Newsletter
Recevez les dernières actualités directement par mail