Sécurité des données - Définition

Bref historique de la sécurité des données

Au cours des dernières années, la mondialisation, spécialement sous ses aspects économiques et financiers, a engendré des projets informatiques de dimension mondiale.

On notera en particulier le passage informatique à l'an 2000 (Y2K), qui a nécessité la vérification et la conversion de 300 à 600 milliards de lignes de programme potentiellement affectées dans le monde (estimation du Gartner Group).

En Europe, le chantier du passage à l'euro a représenté un coût sensiblement équivalent à celui du passage informatique à l'an 2000 sur le périmètre européen. Le projet s'est déroulé en deux phases : première phase début 1999 avec le passage à l'euro des marchés financiers et des applications financières des entreprises, deuxième phase, de loin la plus importante, la conversion de la plupart des autres applications informatiques, qui ne put s'effectuer en général qu'en 2000 et 2001, pour des questions de contraintes par rapport au passage informatique à l'an 2000 (Y2K), et par rapport aux exercices comptables.

Dans ces deux projets, les exigences d'interopérabilité et les données informatiques ont joué un rôle essentiel, puisqu'il s'agissait du format des champs date (une métadonnée) et devise dans les systèmes et les enregistrements informatiques.

Du point de vue du matériel informatique, en Europe, le passage informatique à l'an 2000 a représenté un impact plus important que le passage à l'euro. En d'autres termes, on pourrait dire que le passage informatique à l'an 2000 a comporté des aspects plus techniques, alors que le passage à l'euro a représenté des enjeux plutôt fonctionnels.

En 1991, le département de la Défense des États-Unis a mis au point des critères communs de sécurité (voir TCSEC), et simultanément les organisations européennes ont défini une politique de sécurité des systèmes d'information (ITSEC).

Le projet de sécurisation des données

Identification et évaluation des données sensibles

Pour sécuriser les données sensibles, il faut tout d'abord avoir conscience des actifs de l'entreprise à protéger, et de leur valeur.

Différentes classifications des actifs existent, sans qu'il y ait de normalisation de tous les types d'actifs.

Nous donnons ici une courte liste proposée par la norme ISO 13335-1 (concepts et modèles de sécurité informatique), dont nous rappelons qu'elle n'a pas été traduite en français :

• Personnes ,
• Capacité à fournir un produit, un service,
• Actifs physiques,
• Informations / données (structurées ou non),
• Actifs intangibles.

Au sujet des personnes, on remarquera que, au-delà de l'état sanitaire, le savoir-faire est du plus grand intérêt pour l'entreprise. Son évaluation est capitale en ingénierie des connaissances.

Les méthodes comptables traditionnelles prennent mal en compte ce type de capital (voir capital).

Le modèle d'intelligence économique considère que l'enrichissement et la protection du patrimoine informationnel regroupent les points clés suivants :

• L'éthique :
  • La protection de la vie privée et des données individuelles,
  • L'application d'une déontologie dans le recueil d'informations et les pratiques d'influence,
  • L'application d'une rigueur d'ontologique dans la sous-traitance d'information et de l'influence.

• Les connaissances et les compétences :
  • L'identification et l'évaluation des connaissances et des compétences,
  • La protection (droit, propriété intellectuelle…),
  • La maîtrise des TIC.

• La création de valeur, avec plusieurs types de valeurs :
  • Actionnaire,
  • Client,
  • Personnel,
  • Collectivité,
  • Partenaires (développement de l'innovation).

• L'image :
  • Perception,
  • Evaluation,
  • Promotion.

Les méthodes d'audit d'intelligence économique et d'ingénierie des connaissances proposent également des questionnaires types permettant de répertorier les éléments de la mémoire d'entreprise, de les évaluer et de les structurer en processus métier, en parallèle aux processus de gestion administrative.

Ce sont tous ces actifs qu'il s'agit de sécuriser. Les études les plus récentes sur le capital immatériel, notamment l'étude du CIGREF effectuée en 2006, montrent que la fiabilité et l'auditabilité des données sont une condition nécessaire de l'évaluation du capital immatériel des entreprises, donc de l'évaluation du retour sur investissement des projets d'ingénierie des connaissances, et de la création de valeur.

Choix du tiers de confiance

Dans le cadre de la stratégie de l'organisme, et de sa politique de sécurité des systèmes d'information, les responsables du SI doivent veiller avec le plus grand soin au choix du tiers de confiance en fonction du profil de protection proposé.

Conception de l'architecture de données sécurisée

De l'avis même des experts, il existe une relation entre la sécurité et l'architecture des systèmes d'information.

L'évaluation et l'implémentation du profil de protection demandent d'examiner les critères communs, en les positionnant au niveau adéquat du système d'information. L'utilisation d'un méta-modèle d'urbanisme peut aider à trouver des repères communs pour évaluer et implémenter un profil de protection, car les impacts de la sécurisation peuvent se trouver à tous les niveaux, du matériel informatique, jusqu'à toutes les couches de logiciels et aux réseaux.

Les projets de système d'information, éventuellement le chantier d'urbanisation du système d'information s'il existe, devront intégrer les données correspondant à la sécurité de l'information.

Pour répondre aux enjeux de niveau microéconomique, il est nécessaire de mettre en œuvre des normes de gestion des enregistrements (record management, voir liste de normes ISO par domaines). Il faut structurer les données qui indexent les documents, essentiellement les clients, les produits et les services (métadonnées), et faire en sorte que ces données aient des structures comparables pour pouvoir faire dialoguer les applications de gestion administrative et les applications d'ingénierie des connaissances (documentation, sites web, forums, information dite non structurée).

Exemple : le processus achat doit pouvoir identifier avec beaucoup de précision, au niveau de la demande d'achat, les documents de spécification des composants d'un moteur d'avion que l'on souhaite acheter à un fournisseur. Il s'agit de la traçabilité, de l'analyse du cycle de vie, de l'évaluation du prix (TCO), de la responsabilité du fait des produits défectueux, et également de l'image.

L'utilisation d'une infrastructure de clé publique (PKI) n'apportera une sécurité réelle, dans les applications en réseaux complexes, que si elle est associée à l'utilisation d'un registre de métadonnées. A l'élément identifiant, on pourra associer le certificat électronique.

Organisation du programme

Une bonne sécurité des données sera obtenue par la mise en place d'une politique de sécurité des systèmes d'information (voir l'article détaillé).

La norme ISO 13335, élaborée en 1996, donnait déjà les grandes lignes d'un programme de gestion de la sécurité, qui se trouvait être un enjeu important à ce moment-là.

Un tel programme se situe à plusieurs niveaux des organisations :

• Le niveau groupe, avec :
  • un responsable attitré pour la sécurité en général,
  • un responsable attitré pour la sécurité informatique en particulier ; ce dernier est appelé responsable de la sécurité des systèmes d'information, ou en abrégé RSSI ; ce dernier élabore les procédures de sécurité informatique, qui sont la traduction des procédures de sécurité des autres domaines (hygiène et sécurité par exemple).

• Le niveau département (ou business unit),

• le niveau domaine ou projet, ou l'on trouve l'administrateur.

En général, aux niveaux inférieurs de la hiérarchie, la personne chargée de la sécurité n'a pas cette seule tâche. Il s'agit le plus souvent d'un correspondant, qui a d'autres responsabilités en parallèle.

Le programme ne peut être efficace que si l'on met en place un comité de pilotage. Les méthodes contemporaines de discussion sont les forums. La sécurité informatique devrait donc faire l'objet d'un forum particulier, dont les rôles sont :

• identifier les exigences,
• conseiller les dirigeants sur les décisions à prendre, et formuler des recommandations,
• décrire les procédures,
• concevoir le programme de sécurité de l'information,
• passer en revue les actions.

Un tel forum pourrait comprendre les représentants ou correspondants sécurité, qui ont pour rôle d'examiner les liens avec d'autres programmes. On peut citer :

• La sécurité générale et les risques : aspects fonctionnels de la sécurité et prise en compte du contexte,
• La communication : prise en compte des risques spécifiques liés à la communication,
• La qualité : aspects normalisation,
• La responsabilité sociétale : aspects purement fonctionnels.