En sécurité des systèmes d'information, la sécurité des données est la branche qui s'intéresse principalement aux données, en complément des aspects de traitement de l'information.
Depuis le début de l'Histoire (apparition de l'écriture), l'homme manipule des informations, qui se traduisent par des données, plus en moins structurées.
L'avènement de l'informatique depuis la fin des années 1940 aux États-Unis a introduit une forme numérique de données, enregistrées sur des supports électroniques. Cette évolution est comparable à l'avènement de l'imprimerie au XVe siècle dans les années 1450.
À la base, le support des données est la mémoire de l'ordinateur, sur laquelle opèrent les instructions élémentaires des programmes informatiques.
Il n'est pas possible de traiter la sécurité des données, sans rappeler cet aspect fondamental :
Les données sont traitées avec des matériels informatiques et des systèmes d'exploitation.
Sur les différents types de matériels informatiques (avec leurs périphériques), des supercalculateurs aux micro-ordinateurs, en passant par les ordinateurs centraux et les systèmes ouverts, on trouve toujours les différents types de support physique suivants :
Les données peuvent circuler entre ces systèmes dans des réseaux physique de communication : réseaux de télécommunications, réseaux locaux, réseaux de télécommunications par satellites…
Sur les supports physiques, on doit implanter des systèmes qui gèrent les accès aux données et leur traitement : les accès logiques de ces systèmes peuvent être de type séquentiel ou indexé, les fichiers étant le plus souvent remplacés par des bases de données permettant des accès et mises à jour plus évoluées.
Les systèmes de gestion de bases de données (SGBD) sont du niveau logiciel de base, et permettent à l'ordinateur de gérer ces différents types de traitement sur les données.
On distingue les niveaux :
Au cours des dernières années, la mondialisation, spécialement sous ses aspects économiques et financiers, a engendré des projets informatiques de dimension mondiale.
On notera en particulier le passage informatique à l'an 2000 (Y2K), qui a nécessité la vérification et la conversion de 300 à 600 milliards de lignes de programme potentiellement affectées dans le monde (estimation du Gartner Group).
En Europe, le chantier du passage à l'euro a représenté un coût sensiblement équivalent à celui du passage à l'an 2000 sur le périmètre européen. Le projet s'est déroulé en deux phases : première phase début 1999 avec le passage à l'euro des marchés financiers et des applications financières des entreprises, deuxième phase, de loin la plus importante, la conversion de la plupart des autres applications informatiques, qui ne put s'effectuer en général qu'en 2000 et 2001, pour des questions de contraintes par rapport au passage informatique à l'an 2000 (Y2K) [1], et par rapport aux exercices comptables.
Dans ces deux projets, les exigences d'interopérabilité et les données informatiques ont joué un rôle essentiel, puisqu'il s'agissait du format des champs date (une métadonnée) et devise dans les systèmes et les enregistrements informatiques.
Du point de vue du matériel informatique, en Europe, le passage informatique à l'an 2000 a représenté un impact plus important que le passage à l'euro. En d'autres termes, on pourrait dire que le passage à l'an 2000 a comporté des aspects plus techniques, alors que le passage à l'euro a représenté des enjeux plutôt fonctionnels.
En 1991, le département de la Défense des USA a mis au point des critères communs de sécurité (voir TCSEC), et simultanément les organisations européennes ont défini une politique de sécurité des systèmes d'information (ITSEC).
Les enjeux de la sécurité des données sont les suivants (cette liste est loin d'être exhaustive) :
La sécurité des données implique certaines façons de structurer les données.
En ingénierie des systèmes, les enjeux de sécurité des données sont aujourd'hui très importants, du fait des interconnexions multiples entre systèmes hétérogènes et répartis, que ce soit dans les systèmes de contrôle industriels, dans les systèmes de transport, dans les applications de gouvernance d'entreprise et de gestion intégrée, dans les applications d'ingénierie des connaissances, dans les systèmes décisionnels, dans les systèmes des marchés financiers…
Ces systèmes se rencontrent aujourd’hui dans des organismes très différents : entreprises, services publics, institutions internationales, administrations centrales et territoriales (régions et villes), centres d'études et de recherches, universités, grandes écoles, chambres de commerce et d'industrie. On parle quelquefois de parties prenantes (traduction de l'anglais stakeholder, littéralement, chasseur d'enjeux).
On trouvera une illustration de la diversité des systèmes physiques concernés dans l'article cohérence des données en univers réparti.
Pour approfondir :
Avec l'avènement des technologies de l'intelligence collective et de la connaissance (TICC, expression de Bernard Besson), il y a des risques de perte de compétences dans les entreprises, si les usages des informations ne sont pas bien définis par rapport au contexte, et si la communication est mal contrôlée.
Voir :
L'enjeu le plus important est avant tout humain : il s'agit de préserver le capital intellectuel.
En termes techniques, on parle d'une classification des "actifs", indispensable surtout pour l'ingénierie des connaissances.
Ces enjeux sont tels qu'ils posent des questions de souveraineté.
On distingue en sécurité de l'information plusieurs aspects, qui sont d'ailleurs liés aux données :
La norme ISO 13335 (qui n'existe qu'en anglais) mentionne également la non-répudiation, la gestion de la preuve (imputabilité), et l'authentification :
Les critères communs (en anglais common criteria), définis au niveau international, doivent être documentés sous la forme de profils de protection, ceux-ci étant des informations essentielles pour s'assurer de la sécurité des informations, au plus haut niveau.
En urbanisation des systèmes d'information, en préalable à l'établissement de toute cartographie des données, il est nécessaire de procéder à l'" alignement stratégique ", dans lequel la définition du profil de protection est l'un des principaux prérequis.
Les professionnels de la sécurité des systèmes d'information reconnaissent trois types d'acteurs de la sécurité :
En 1991, l'Europe a défini un standard d'organisation de politique de sécurité, ITSEC, qui n'a pas obtenu le statut de norme internationale (ISO).
Dans chaque grande entreprise, on trouve un responsable de la sécurité des systèmes d'information (RSSI), qui dépend hiérarchiquement du directeur informatique ou du directeur de la sécurité selon les cas. Si le RSSI dépend hiérarchiquement du directeur de la sécurité, il a des relations fonctionnelles avec le (ou les) directeurs informatiques (et réciproquement).
L'organisation de la sécurité des données est une partie essentielle de la sécurité des systèmes d'information. Elle doit être définie dans une politique de sécurité des systèmes d'information.
Cette politique doit indiquer les rôles respectifs des acteurs de l'entreprise et des tiers de confiance dans le processus de certification.
Une analyse globale par les données permettra de décliner la PSSI en politiques spécialisées (système informatique, réseaux…).
Pour sécuriser les données sensibles, il faut tout d'abord avoir conscience des actifs de l'entreprise à protéger, et de leur valeur.
Différentes classifications des actifs existent, sans qu'il y ait de normalisation de tous les types d'actifs.
Nous donnons ici une courte liste proposée par la norme ISO 13335-1 (concepts et modèles de sécurité informatique), dont nous rappelons qu'elle n'a pas été traduite en français :
Au sujet des personnes, on remarquera que, au-delà de l'état sanitaire, le savoir-faire est du plus grand intérêt pour l'entreprise. Son évaluation est capitale en ingénierie des connaissances.
Les méthodes comptables traditionnelles prennent mal en compte ce type de capital (voir capital).
Le modèle d'intelligence économique considère que l'enrichissement et la protection du patrimoine informationnel regroupent les points clés suivants :
Les méthodes d'audit d'intelligence économique et d'ingénierie des connaissances proposent également des questionnaires types permettant de répertorier les éléments de la mémoire d'entreprise, de les évaluer et de les structurer en processus métier, en parallèle aux processus de gestion administrative.
Ce sont tous ces actifs qu'il s'agit de sécuriser. Les études les plus récentes sur le capital immatériel, notamment l'étude du CIGREF effectuée en 2006, montrent que la fiabilité et l'auditabilité des données sont une condition nécessaire de l'évaluation du capital immatériel des entreprises, donc de l'évaluation du retour sur investissement des projets d'ingénierie des connaissances, et de la création de valeur.
Dans le cadre de la stratégie de l'organisme, et de sa politique de sécurité des systèmes d'information, les responsables du SI doivent veiller avec le plus grand soin au choix du tiers de confiance en fonction du profil de protection proposé.
De l'avis même des experts, il existe une relation entre la sécurité et l'architecture des systèmes d'information.
L'évaluation et l'implémentation du profil de protection demandent d'examiner les critères communs, en les positionnant au niveau adéquat du système d'information. L'utilisation d'un méta-modèle d'urbanisme peut aider à trouver des repères communs pour évaluer et implémenter un profil de protection, car les impacts de la sécurisation peuvent se trouver à tous les niveaux, du matériel informatique, jusqu'à toutes les couches de logiciels et aux réseaux.
Les projets de système d'information, éventuellement le chantier d'urbanisation du système d'information s'il existe, devront intégrer les données correspondant à la sécurité de l'information.
Pour répondre aux enjeux de niveau microéconomique, il est nécessaire de mettre en œuvre des normes de gestion des enregistrements (record management, voir liste de normes ISO par domaines). Il faut structurer les données qui indexent les documents, essentiellement les clients, les produits et les services (métadonnées), et faire en sorte que ces données aient des structures comparables pour pouvoir faire dialoguer les applications de gestion administrative et les applications d'ingénierie des connaissances (documentation, sites web, forums, information dite non structurée).
Exemple : le processus achat doit pouvoir identifier avec beaucoup de précision, au niveau de la demande d'achat, les documents de spécification des composants d'un moteur d'avion que l'on souhaite acheter à un fournisseur. Il s'agit de la traçabilité, de l'analyse du cycle de vie, de l'évaluation du prix (TCO), de la responsabilité du fait des produits défectueux, et également de l'image.
L'utilisation d'une infrastructure de clé publique (PKI) n'apportera une sécurité réelle, dans les applications en réseaux complexes, que si elle est associée à l'utilisation d'un registre de métadonnées. A l'élément identifiant, on pourra associer le certificat électronique.
Une bonne sécurité des données sera obtenue par la mise en place d'une politique de sécurité des systèmes d'information (voir l'article détaillé).
La norme ISO 13335, élaborée en 1996, donnait déjà les grandes lignes d'un programme de gestion de la sécurité, qui se trouvait être un enjeu important à ce moment-là.
Un tel programme se situe à plusieurs niveaux des organisations :
En général, aux niveaux inférieurs de la hiérarchie, la personne chargée de la sécurité n'a pas cette seule tâche. Il s'agit le plus souvent d'un correspondant, qui a d'autres responsabilités en parallèle.
Le programme ne peut être efficace que si l'on met en place un comité de pilotage. Les méthodes contemporaines de discussion sont les forums. La sécurité informatique devrait donc faire l'objet d'un forum particulier, dont les rôles sont :
Un tel forum pourrait comprendre les représentants ou correspondants sécurité, qui ont pour rôle d'examiner les liens avec d'autres programmes. On peut citer :
D'une façon générale, les exigences de sécurité des systèmes d'information sont analysées avec l'échelle Evaluation Assurance Level.
Pour les applications civiles, les exigences de sécurité ne dépassent en général pas le niveau EAL 4+.
Pour les applications militaires, les exigences de sécurité vont des EAL 5 à 7.
La sécurité globale d'un système d'information sera celle du maillon le plus faible, et sera bien représentée par la sécurité des bases de données ou celle des interfaces entre les applications. Il est donc crucial de s'intéresser aux EAL des SGBD et des systèmes d'interfaçage (bus informatiques, EAI).
Dans le cas du logiciel libre, les niveaux de sécurité des bases de données employées (MySQL,...) sont en général assez bas dans l'échelle EAL, en raison de la moindre puissance financière des communautés de logiciel libre.
Une protection efficace du patrimoine informationnel nécessite avant tout une étude approfondie du cadre juridique. Il est très important de prendre conscience qu'il existe une hiérarchie dans la réglementation. Par exemple, dans l'Union européenne, les directives européennes priment sur les lois des États membres (hiérarchie des normes).
On doit croiser cette étude juridique avec :
Il est nécessaire de bien structurer à la fois les données et les communautés de pratique, qui ont en commun le domaine d'activité et le niveau de sécurité. C'est un aspect important de la gestion de contenu.
On doit utiliser les métadonnées d'une façon normalisée avec un registre de métadonnées. On doit examiner comment intervient chaque élément dans la sécurité, ainsi que les raffinements associés, comme par exemple : identifiant et certificat électronique associé, nature du document, portée du document, droits, audience, etc.
(records management en anglais).
En pratique, la sécurité des données doit se mettre en œuvre par des actions concernant l'enregistrement des données électroniques.
Sécurité des enregistrements
Les données qui permettent de gérer la sécurité, liées au profil de protection à choisir (ou choisi), doivent être positionnées dans le système d'information de telle manière que l'enregistrement effectué puisse fournir la preuve des actions d'une personne ou d'une entreprise et des affaires correspondantes.
La gestion de la preuve fait l'objet d'une norme, la norme ISO 15489 (en anglais et en français).
Enregistrement des données et gestion de la preuve
La sécurité et l'enregistrement des données et la gestion de la preuve sont donc en relation très étroite.
Il ne peut pas y avoir de bonne gestion de la preuve, sans un bon enregistrement des données tout au long du cycle de vie et des processus associés (filières). Ainsi, il faut décrire de façon très précise les impacts sur les opérations suivantes :
Ces processus sont de la plus haute importance en informatique, car ils contiennent le capital des connaissances dites explicites, en langage d'ingénierie des connaissances.
En fin de compte, on ne peut évidemment pas découpler totalement les aspects données et traitements de l'information, de sorte que le choix de l'architecture de données impacte fortement l'architecture physique de l'ordinateur, et en particulier sa capacité à effectuer des processus en multitâches (voir aussi multiprocesseurs). C'est la raison pour laquelle il est préférable d'étudier la sécurisation des données dans le cadre d'une démarche d'urbanisation des systèmes d'information.
Il existe dans l'Union européenne des règlements sur la protection de la vie privée, en particulier la directive 95/46 du 24 octobre 1995 sur la protection des données. Le G29 est un groupe européen chargé de coordonner les autorités de protection des données de l’Union européenne.
Les normes applicables sont :
Sur les métadonnées en particulier, voir Normalisation des métadonnées.
Sur la gestion de la preuve ou imputabilité (records management en anglais), voir ISO 15489 et Records management, métadonnées (en anglais seulement).
La norme ISO 27000 est une norme générale sur la sécurité du système d'information.
Pour l'application de la norme ISO 15408, en France, il existe 6 CESTI (centres d'évaluation de la sécurité des technologies de l'information) chargés de l'évaluation :
En dernière instance, c'est la DCSSI qui valide l'agrément et délivre le certificat.