Sécurité des données - Définition
La liste des auteurs de cet article est disponible ici.
Rappel des concepts de sécurité de système d'information
Les aspects de la sécurité des systèmes d'information
On distingue en sécurité de l'information plusieurs aspects, qui sont d'ailleurs liés aux données :
- La confidentialité,
- L'intégrité,
- La disponibilité.
La norme ISO 13335 (qui n'existe qu'en anglais) mentionne également la non-répudiation, la gestion de la preuve (imputabilité), et l'authentification :
- L'authentification correspond à l'une des trois phases du contrôle d'accès, qui est du domaine de la confidentialité ; il y a également une notion d'authenticité qui n'est pas liée directement au contrôle d'accès : il s'agit pour celui qui consulte une donnée, de se convaincre de l'identité de l'émetteur ou du créateur de la donnée.
- La non-répudiation vise à empêcher que l'auteur d'une donnée puisse prétendre ensuite qu'il n'en est pas l'auteur ; elle implique l'intégrité, mais s'étend au-delà.
- La gestion de la preuve (imputabilité) concerne tous les aspects de la sécurité des systèmes d'information.
Les concepts fondamentaux
Les critères communs (en anglais common criteria), définis au niveau international, doivent être documentés sous la forme de profils de protection, ceux-ci étant des informations essentielles pour s'assurer de la sécurité des informations, au plus haut niveau.
En urbanisation des systèmes d'information, en préalable à l'établissement de toute cartographie des données, il est nécessaire de procéder à l'« alignement stratégique », dans lequel la définition du profil de protection est l'un des principaux prérequis.
Les acteurs de la sécurité des systèmes d'information
Les professionnels de la sécurité des systèmes d'information reconnaissent trois types d'acteurs de la sécurité :
- l'autorité de certification,
- l'autorité d'enregistrement,
- l'opérateur de certification.
En 1991, l'Europe a défini un standard d'organisation de politique de sécurité, ITSEC, qui n'a pas obtenu le statut de norme internationale (ISO).
Dans chaque grande entreprise, on trouve un responsable de la sécurité des systèmes d'information (RSSI), qui dépend hiérarchiquement du directeur informatique ou du directeur de la sécurité selon les cas. Si le RSSI dépend hiérarchiquement du directeur de la sécurité, il a des relations fonctionnelles avec le (ou les) directeurs informatiques (et réciproquement).
L'organisation
L'organisation de la sécurité des données est une partie essentielle de la sécurité des systèmes d'information. Elle doit être définie dans une politique de sécurité des systèmes d'information.
Cette politique doit indiquer les rôles respectifs des acteurs de l'entreprise et des tiers de confiance dans le processus de certification.
Une analyse globale par les données permettra de décliner la PSSI en politiques spécialisées (système informatique, réseaux…).
Normalisation et certification
Normalisation
Les normes applicables sont :
- ISO 13335 sur les définitions, concepts et modèles,
- ISO 15408 sur les exigences, et les critères communs.
Sur les métadonnées en particulier, voir Normalisation des métadonnées.
Sur la gestion de la preuve ou imputabilité (records management en anglais), voir ISO 15489 et Métadonnées et traçabilité.
La norme ISO 27000 est une norme générale sur la sécurité du système d'information.
Certification
Pour l'application de la norme ISO 15408, en France, il existe cinq CESTI (centres d'évaluation de la sécurité des technologies de l'information) chargés de l'évaluation :
- AQL (SILICOMP)
- CEA LETI
- THALES (T3S-CNES)
- OPPIDA
- SERMA Technologies
En dernière instance, c'est la ANSSI qui valide l'agrément et délivre le certificat.
