Cet articlene cite pas suffisamment ses sources().
Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant lesréférences utiles à savérifiabilité et en les liant à la section « Notes et références ».
En pratique :Quelles sources sont attendues ?Comment ajouter mes sources ?
Lasécurité de l'information est un ensemble de pratiques visant à protéger la confidentialité, l'intégrité et la disponibilité (CID ou CIA enanglais) de l'information (Boddaert, 2017)[1].
La sécurité de l'information n'est pas confinée qu'auxsystèmes informatiques, ni qu'a l'information dans sa forme numérique ou électronique. Au contraire, elle s'applique aussi à tous les aspects de la sûreté, la garantie, et la protection d'une donnée ou d'une information, quelle que soit sa forme.
La plupart des définitions de la sécurité de l'information tendent à cibler, quelquefois exclusivement, sur des utilisations spécifiques ou des médias particuliers. En fait, la sécurité de l'information ne peut pas être définie comme synonyme de la sécurité informatique, de la sécurité système et réseau, de la sécurité destechnologies de l'information, de lasécurité du système d'information, ou de la sécurité destechnologies de l'information et de la communication.[réf. souhaitée]
Chacune de ces expressions traite d'un sujet différent, même si le point commun concerne la sécurité de l'information dans quelques-unes de ses formes (ici, sous sa forme électronique) : par conséquent, tous sont des sous-domaines de la sécurité de l'information[2].
La sécurité de l’information trouve son origine dans le monde militaire. Déjà à l’époque de Jules César, les généraux militaires étaient conscients qu’ils devaient protéger la confidentialité et la fiabilité de leurs communications et les informations transmises. Pour assurer la sécurité de leurs communications ont été mises en place les premières formes decryptographie avec lechiffre de César, ainsi que des procédures strictes et une sécurité physique (surveillance)[3].
La Première et laSeconde Guerre mondiale ont été un vecteur de l’accélération de la sécurité de l’information, la cryptographie hors ligne, la sécurité physique et des procédures strictes mais également l’utilisation des machines électromécaniques portables servant auchiffrement et au déchiffrement de l'information (tel qu'Enigma)[4].
À la fin duXXe siècle, l’information s’est développée de plus en plus sous forme numérique, menant à de nouvelles contraintes relatives à la sécurité de l’information. Pour assurer la sécurité informatique ou cybersécurité ont été mises en œuvre les mesuresTEMPEST, la sécurité du réseau (ex. Les pare-feu), le cryptage en ligne (ex.VPN), le contrôle de l’identité et des accès ainsi que le développement du chiffrement par clé, principe développé par Auguste Kerckhoffs, aujourd'hui utilisé sous forme dechiffrement symétrique et chiffrement asymétrique[5].
AuXXIe siècle, la majorité des organisations dispose d’un système d’information connecté àInternet[6] et échange des informations via celui-ci. Les informations peuvent donc être amenées à circuler à travers uneinterconnexion de réseaux. Cette interconnexion est donc d’autant plus exposée aux risques de malveillance pour accéder aux informations sensibles depuis l’intérieur (copie de l’information, utilisation de code malveillant) et depuis l’extérieur.[réf. souhaitée]
Par conséquent, face à ces risques la sécurité de l’information pousse à développer des concepts, tel que l’étiquetage des données[Quoi ?], lechiffrement à clés publiques[7](PKI) et lasécurité multiniveau (MLS).
En complément des problèmes de liaison entre les réseaux, il est de plus en plus facile de déplacer de grandes quantités d’informations (et ce de façon relativement difficile à détecter dans le cas de piratage informatique) mais également de les transporter de manière physique via desclés USB oucarte mémoires. Par conséquent, les systèmes d’information contenant des informations sensibles sont de plus en plus conçus comme un environnementSystem high mode (en), c’est-à-dire souvent des réseaux séparés sans connexion à d’autre réseaux et sansports USB.[réf. souhaitée]
System high mode : Mode de fonctionnement de la sécurité du système d'information, où l'accès direct ou indirect de chaque utilisateur au système d'information, à ses équipements périphériques, au terminal distant ou à l'hôte distant présente toutes les caractéristiques suivantes : 1) L'autorisation de sécurité est valable pour toutes les informations du système d'information; Pour toutes les informations stockées et / ou traitées (y compris tous les compartiments, sous-compartiments et / ou procédures d'acquisition spéciales) l'approbation formelle d'accès et les accords de confidentialité signés; 3) Il est nécessaire de savoir si certaines informations contenues dans le système d'information sont valides. Raison: Suppression du système avancé et d'autres termes connexes.[1]
Trois critères de sensibilité de l'information sont communément acceptés :Disponibilité,Intégrité etConfidentialité[8].
Un quatrième est aussi souvent utilisé (sous différents noms) :Traçabilité,Imputabilité, Auditabilité (se référant auxaudits informatiques) ouPreuve[9].
Un cinquième est également utilisé :Non-répudiation, qui permet d’assurer les échanges entre l’envoyeur et le destinataire.[réf. souhaitée]
Les risques liés aux données sont de deux sortes :
Les risques de corruption de données peuvent avoir des origines internes (mauvaise manipulation, perte de matériel,obsolescence non maîtrisée, erreur de copie ou de sauvegarde, etc.). Néanmoins, un des principaux risques est l'accès volontaire à des données privées, c'est ce que l'on appelle lepiratage informatique.
Lepiratage informatique logiciel vise essentiellement le vol depropriété intellectuelle, le vol d'identité, le vol d'appareils ou d'informations, l'attaque de logiciels, la destruction et l'extorsion d'informations. Il est effectué via l'utilisation deprogrammes malveillants tels que lesvirus[10],vers, les attaques d'hameçonnage[11] (phishing) et leschevaux de Troie.
Via l'amélioration des protections logicielles (pare-feu,antivirus, ségrégation des réseaux, éducation des utilisateurs, etc.) les attaques logicielles peuvent devenir très complexes. Aussi l'accès direct à du matériel contenant des données sensibles devient une solution alternative. Les principaux moyens d'acquisition sont le vol et la récupération (légale) de matériel usagé, notamment sur les sites de revente de matériel électronique. Il n'est d'ailleurs pas rare de pouvoir acheter à bas prix de vieux disques durs, pouvant avoir anciennement été sur desserveurs d'entreprises.
Afin de prévenir ce risque, les données enregistrées sur des supports de stockage physiques sont au préalablementchiffrées, ce qui permet d'éliminer ce risque. Sauf si des personnes malintentionnées parviennent à obtenir la clef de chiffrement. Cependant il faut bien déchiffrer ces données pour les afficher ou pour être exploitées (ex. le code d'unprogramme informatique). Il existe donc des puces de chiffrement qui ont leur clef directement intégrée à la fabrication et en théorie inaccessible. Cependant, par des techniques de pointe il est possible pour une personne malintentionnée d'observer le fonctionnement de la puce effectuant le chiffrement, cette observation ne concerne pas les entrées - sorties directes de la puce, car mathématiquement les méthodes de chiffrement sont assez robustes, mais des signaux dérivés, dit "auxiliaires" (consommation de courant, émissions électromagnétiques des transistors lors de leur commutation, rayonnementinfrarouge, etc.). On parle alors d'attaque par canal auxiliaire ouSCA (Side Channel Attack).
Il existe un secteur lié à la veille des attaques matérielles permettant d'anticiper et d'assurer la bonne robustesse des composants électroniques effectuant des actions de chiffrage, c'est la "Sécurité des Circuits Intégrés" (IC Security). Ce domaine est constitué de deux familles d'acteurs :
L'usurpation d'identité est une tentative d'obtenir les informations personnelles d'une autre personne en tant que quelqu'un d'autre ou de les utiliser pour obtenir des informations importantes via l'ingénierie sociale. Étant donné que la plupart des appareils sont aujourd'hui amovibles[12], le vol d'appareils ou d'informations est de plus en plus courant, et facile à voler. À mesure que la capacité des données augmente, le vol devient plus probable.
Les gouvernements, les militaires, les entreprises, les institutions financières, les hôpitaux, les organisations à but non lucratif ont accumulé de grandes quantités d'informations confidentielles sur leurs employés, clients, produits. Si des informations confidentielles sur les entreprises clientes ou les conditions financières ou de nouvelles gammes de produits tombent entre les mains de concurrents ou de pirates informatiques, les entreprises et leurs clients peuvent subir des pertes financières importantes et irréparables et nuire à la réputation de l'entreprise. D'un point de vue commercial, un équilibre doit être trouvé entre la sécurité de l'information et le coût.
Pour les individus, la sécurité de l'information a un impact significatif sur lavie privée, et les perceptions des personnes à l'égard de la vie privée sont très différentes selon les cultures.
Comme vu au chapitre des menaces, de plus en plus de sociétés accumulent de plus en plus de données sensibles. Les sécurités informatiques logicielles augmentant, l'attaque de matériel physique peut devenir une solution plus simple.
Le règlementno 2016/679, dit égalementRèglement général sur la protection des données (RGPD) est entré en vigueur le.
L’ENISA, l'Agence de l'Union européenne pour la cybersécurité, est un centre d’expertise en matière de cybersécurité en Europe. Elle aide l’Union européenne (UE) et les États membres à être mieux équipés et préparés pour prévenir et détecter les problèmes de sécurité de l’information et y répondre.
Conformément aux règlements (UE)no 460/2004 etno 526/2013 la concernant, l'ENISA comporte un directeur exécutif, un conseil d'administration, un conseil exécutif et un groupe permanent des parties prenantes.
Concernant le fonctionnement, les activités quotidiennes de l'Agence sont présentées dans son programme de travail annuel, qui est préparé après de vastes consultations avec le conseil d'administration et le bureau exécutif.
L'ENISA a également mis en place un solide réseau de parties prenantes dans les secteurs public et privé. Ce réseau est axé sur :
L'ENISA travaille en étroite collaboration avecEuropol et le Centre européen de lutte contre la cybercriminalité (EC3)EN sur des travaux de recherche et de communication communs[13]
