Bref historique de la sécurité des données

Au cours des dernières années, la mondialisation, spécialement sous ses aspects économiques et financiers, a engendré des projets informatiques de dimension mondiale.

On notera en particulier le passage informatique (L´informatique - contraction d´information et automatique - est le domaine...) à l'an 2000 (Y2K), qui a nécessité la vérification et la conversion de 300 à 600 milliards de lignes de programme potentiellement affectées dans le monde (Le mot monde peut désigner :) (estimation du Gartner Group).

En Europe (L’Europe est une région terrestre qui peut être considérée comme un...), le chantier du passage à l'euro a représenté un coût sensiblement équivalent à celui du passage informatique à l'an 2000 sur le périmètre (Le périmètre d'une figure plane est la longueur du bord de cette figure. Le calcul du...) européen. Le projet (Un projet est un engagement irréversible de résultat incertain, non reproductible a...) s'est déroulé en deux phases : première phase (Le mot phase peut avoir plusieurs significations, il employé dans plusieurs domaines et...) début 1999 avec le passage à l'euro des marchés financiers et des applications financières des entreprises, deuxième phase, de loin la plus importante, la conversion de la plupart des autres applications informatiques, qui ne put s'effectuer en général qu'en 2000 et 2001, pour des questions de contraintes par rapport au passage informatique à l'an 2000 (Y2K), et par rapport aux exercices comptables.

Dans ces deux projets, les exigences d'interopérabilité (L’ interopérabilité est la capacité que possède un produit ou un...) et les données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent...) informatiques ont joué un rôle essentiel, puisqu'il s'agissait du format des champs date (une métadonnée) et devise dans les systèmes et les enregistrements informatiques.

Du point (Graphie) de vue (La vue est le sens qui permet d'observer et d'analyser l'environnement par la réception et...) du matériel informatique (Le matériel informatique (en anglais « hardware ») est l'ensemble des...), en Europe, le passage informatique à l'an 2000 a représenté un impact plus important que le passage à l'euro. En d'autres termes, on pourrait dire que le passage informatique à l'an 2000 a comporté des aspects plus techniques, alors que le passage à l'euro a représenté des enjeux plutôt fonctionnels.

En 1991, le département de la Défense des États-Unis a mis au point des critères communs (Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des...) de sécurité (voir TCSEC), et simultanément les organisations européennes ont défini une politique de sécurité des systèmes d'information (ITSEC).

Le projet de sécurisation des données

Identification et évaluation des données sensibles

Pour sécuriser les données sensibles, il faut tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou...) d'abord avoir conscience des actifs de l'entreprise à protéger, et de leur valeur.

Différentes classifications des actifs existent, sans qu'il y ait de normalisation de tous les types d'actifs.

Nous donnons ici une courte liste proposée par la norme (Une norme, du latin norma (« équerre, règle ») désigne un...) ISO 13335-1 (concepts et modèles de sécurité informatique), dont nous rappelons qu'elle n'a pas été traduite en français :

• Personnes ,
• Capacité à fournir un produit, un service,
• Actifs physiques,
• Informations / données (structurées ou non),
• Actifs intangibles.

Au sujet des personnes, on remarquera que, au-delà de l'état sanitaire, le savoir-faire est du plus grand intérêt pour l'entreprise. Son évaluation est capitale (Une capitale (du latin caput, capitis, tête) est une ville où siègent les pouvoirs,...) en ingénierie (L'ingénierie désigne l'ensemble des fonctions allant de la conception et des études à la...) des connaissances.

Les méthodes comptables traditionnelles prennent mal en compte ce type de capital (voir capital).

Le modèle d'intelligence économique considère que l'enrichissement et la protection du patrimoine informationnel regroupent les points clés suivants :

• L'éthique :
  • La protection de la vie (La vie est le nom donné :) privée et des données individuelles,
  • L'application d'une déontologie dans le recueil d'informations et les pratiques d'influence,
  • L'application d'une rigueur d'ontologique dans la sous-traitance d'information et de l'influence.

• Les connaissances et les compétences :
  • L'identification et l'évaluation des connaissances et des compétences,
  • La protection (droit, propriété intellectuelle…),
  • La maîtrise (La maîtrise est un grade ou un diplôme universitaire correspondant au grade ou titre de...) des TIC (Les tics sont des mouvements compulsifs surprenant par leur caractère brusque et...).

• La création de valeur, avec plusieurs types de valeurs :
  • Actionnaire,
  • Client (Le mot client a plusieurs acceptations :),
  • Personnel,
  • Collectivité,
  • Partenaires (développement de l'innovation).

• L'image :
  • Perception,
  • Evaluation,
  • Promotion.

Les méthodes d'audit d'intelligence économique et d'ingénierie des connaissances proposent également des questionnaires types permettant de répertorier les éléments de la mémoire (D'une manière générale, la mémoire est le stockage de l'information. C'est aussi le souvenir...) d'entreprise, de les évaluer et de les structurer en processus métier, en parallèle aux processus de gestion administrative.

Ce sont tous ces actifs qu'il s'agit de sécuriser. Les études les plus récentes sur le capital immatériel, notamment l'étude du CIGREF effectuée en 2006, montrent que la fiabilité (Un système est fiable lorsque la probabilité de remplir sa mission sur une durée...) et l'auditabilité des données sont une condition nécessaire de l'évaluation du capital immatériel des entreprises, donc de l'évaluation du retour sur investissement des projets d'ingénierie des connaissances, et de la création de valeur.

Choix du tiers de confiance (Un tiers de confiance est un organisme habilité à mettre en œuvre des signatures...)

Dans le cadre de la stratégie (La stratégie - du grec stratos qui signifie « armée » et ageîn qui signifie...) de l'organisme, et de sa politique de sécurité des systèmes d'information, les responsables du SI doivent veiller avec le plus grand soin au choix du tiers de confiance en fonction du profil de protection proposé.

Conception de l'architecture (L’architecture peut se définir comme l’art de bâtir des édifices.) de données sécurisée

De l'avis (Anderlik-Varga-Iskola-Sport (Anderlik-Varga-Ecole-Sport) fut utilisé pour désigner un...) même des experts, il existe une relation entre la sécurité et l'architecture des systèmes d'information.

L'évaluation et l'implémentation (Le mot implantation peut avoir plusieurs significations :) du profil de protection demandent d'examiner les critères communs, en les positionnant au niveau adéquat du système d'information. L'utilisation d'un méta-modèle d'urbanisme (L’urbanisme est à la fois un champ disciplinaire et un champ professionnel recouvrant...) peut aider à trouver des repères communs pour évaluer et implémenter un profil de protection, car les impacts de la sécurisation peuvent se trouver à tous les niveaux, du matériel informatique, jusqu'à toutes les couches de logiciels et aux réseaux.

Les projets de système d'information, éventuellement le chantier d'urbanisation du système d'information s'il existe, devront intégrer les données correspondant à la sécurité de l'information.

Pour répondre aux enjeux de niveau microéconomique, il est nécessaire de mettre en œuvre des normes de gestion des enregistrements (record management, voir liste de normes ISO par domaines). Il faut structurer les données qui indexent les documents, essentiellement les clients, les produits et les services (métadonnées), et faire en sorte que ces données aient des structures comparables pour pouvoir faire dialoguer les applications de gestion administrative et les applications d'ingénierie des connaissances (documentation, sites web, forums, information dite non structurée).

Exemple : le processus achat doit pouvoir identifier avec beaucoup de précision, au niveau de la demande d'achat, les documents de spécification des composants d'un moteur (Un moteur (du latin mōtor : « celui qui remue ») est un dispositif...) d'avion (Un avion, selon la définition officielle de l'Organisation de l'aviation civile internationale...) que l'on souhaite acheter à un fournisseur. Il s'agit de la traçabilité, de l'analyse du cycle de vie, de l'évaluation du prix (TCO), de la responsabilité du fait des produits défectueux, et également de l'image.

L'utilisation d'une infrastructure de clé publique (PKI) n'apportera une sécurité réelle, dans les applications en réseaux complexes, que si elle est associée à l'utilisation d'un registre de métadonnées. A l'élément identifiant (En informatique, on appelle identifiants (également appelé parfois en anglais login) les...), on pourra associer le certificat électronique (Un certificat électronique est une carte d'identité numérique dont l'objet est d'identifier une...).

Organisation (Une organisation est) du programme

Une bonne sécurité des données (En sécurité des systèmes d'information, la sécurité des données est...) sera obtenue par la mise en place d'une politique de sécurité des systèmes d'information (voir l'article détaillé).

La norme ISO 13335, élaborée en 1996, donnait déjà les grandes lignes d'un programme de gestion de la sécurité, qui se trouvait être un enjeu important à ce moment-là.

Un tel programme se situe à plusieurs niveaux des organisations :

• Le niveau groupe, avec :
  • un responsable attitré pour la sécurité en général,
  • un responsable attitré pour la sécurité informatique en particulier ; ce dernier est appelé responsable de la sécurité des systèmes d'information, ou en abrégé RSSI ; ce dernier élabore les procédures de sécurité informatique, qui sont la traduction des procédures de sécurité des autres domaines (hygiène et sécurité par exemple).

• Le niveau département (ou business unit),

• le niveau domaine ou projet, ou l'on trouve l'administrateur.

En général, aux niveaux inférieurs de la hiérarchie, la personne chargée de la sécurité n'a pas cette seule tâche. Il s'agit le plus souvent d'un correspondant, qui a d'autres responsabilités en parallèle.

Le programme ne peut être efficace que si l'on met en place un comité de pilotage. Les méthodes contemporaines de discussion sont les forums. La sécurité informatique devrait donc faire l'objet (De manière générale, le mot objet (du latin objectum, 1361) désigne une entité définie dans...) d'un forum particulier, dont les rôles sont :

• identifier les exigences,
• conseiller les dirigeants sur les décisions à prendre, et formuler des recommandations,
• décrire les procédures,
• concevoir le programme de sécurité de l'information,
• passer (Le genre Passer a été créé par le zoologiste français Mathurin Jacques...) en revue les actions.

Un tel forum pourrait comprendre les représentants ou correspondants sécurité, qui ont pour rôle d'examiner les liens avec d'autres programmes. On peut citer :

• La sécurité générale et les risques : aspects fonctionnels de la sécurité et prise en compte du contexte (Le contexte d'un évènement inclut les circonstances et conditions qui l'entourent; le...),
• La communication : prise en compte des risques spécifiques liés à la communication (La communication concerne aussi bien l'homme (communication intra-psychique, interpersonnelle,...),
• La qualité : aspects normalisation,
• La responsabilité sociétale : aspects purement fonctionnels.