Qu’est-ce que la sécurité de l’information?
La sécurité de l’information, souvent appelée InfoSec, fait référence aux processus et outils conçus et déployés pour protéger les renseignements sensibles des entreprises contre la modification, la perturbation, la destruction et l’inspection.
Quelle est la différence entre la cybersécurité et la sécurité de l’information?
On confond souvent sécurité de l’information et cybersécurité. L’InfoSec est un élément essentiel de la cybersécurité, mais fait exclusivement référence aux processus conçus pour la sécurité des données. La cybersécurité est un terme plus général qui englobe l’InfoSec.
Qu’est-ce qu’un système de gestion de la sécurité de l’information (ISMS)?
Un ISMS est un ensemble de directives et de processus créé pour aider les organisations en cas de violation des données. En ayant un ensemble officiel de directives, les entreprises peuvent réduire les risques et assurer la continuité des opérations en cas de changement du personnel. La norme ISO 27001 est une spécification bien connue pour les ISMS d’entreprise.
Qu’est-ce que le Règlement général sur la protection des données (RGPD)?
En 2016, le Parlement et le Conseil européens ont mis en place le Règlement général sur la protection des données. Au printemps 2018, le RGPD a commencé à demander aux entreprises de :
- fournir des notifications concernant les violations de données
- nommer un responsable de la protection des données
- demander le consentement des utilisateurs quant au traitement de leurs données
- rendre les données anonymes pour assurer leur confidentialité
Toutes les entreprises qui exercent leurs activités au sein de l’UE doivent respecter ces normes.
Quelles sont les certifications nécessaires pour exercer un emploi dans le domaine de la cybersécurité?
Les certifications nécessaires pour exercer un emploi dans le domaine de la cybersécurité peuvent varier. Pour certaines entreprises, le directeur de la sécurité des systèmes d’information ou le responsable certifié de la sécurité de l’information peut nécessiter une formation spécifique au fournisseur.
De manière plus générale, il existe des organismes à but non lucratif (comme l’International Information Systems Security Certification Consortium) qui proposent des certifications de sécurité reconnues à grande échelle. Celles-ci peuvent aller de la certification CompTIA Security+ à la certification CISSP (Certified Information Systems Security Professional).
Types d’InfoSec
Sécurité des applications
La sécurité des applications est un thème qui couvre les vulnérabilités logicielles des applications Web et mobiles, et des interfaces de programmation d’applications (API). Ces vulnérabilités peuvent être présentes dans l’authentification ou l’autorisation des utilisateurs, l’intégrité du code et des configurations, et les politiques et procédures. Les vulnérabilités des applications peuvent créer des points d’entrée pour des intrusions majeures. La sécurité des applications joue donc un rôle important dans la défense de l’InfoSec.
Sécurité du nuage
La sécurité du nuage est axée sur la conception et l’hébergement d’applications sécurisées dans des environnements infonuagiques, et sur l’utilisation sécurisée d’applications infonuagiques tierces. Le mot « nuage » signifie simplement que l’application est exécutée dans un environnement partagé. Les entreprises doivent s’assurer que les différents processus au sein des environnements partagés sont isolés de manière adéquate.
Cryptographie
Le chiffrement des données en transit et à l’arrêt permet de garantir leur confidentialité et leur intégrité. Les signatures numériques sont couramment utilisées en cryptographie pour valider l’authenticité des données. La cryptographie et le chiffrement sont de plus en plus importants. La norme Advanced Encryption Standard (AES) est un bon exemple de l’utilisation de la cryptographie. La norme AES est un algorithme symétrique utilisé pour protéger les renseignements gouvernementaux sensibles.
Sécurité de l’infrastructure
La sécurité de l’infrastructure concerne la protection des réseaux internes et extranet, des laboratoires, des centres de données, des serveurs, des postes de travail et des appareils mobiles.
Gestion des incidents
La gestion des incidents est une fonction qui surveille et analyse les comportements potentiellement malveillants.
Pour être prêt à faire face aux intrusions, le personnel informatique doit avoir un plan d’intervention en cas d’incident permettant d’endiguer la menace et de restaurer le réseau. En outre, le plan doit mettre en place un système permettant de conserver des preuves, en vue d’une analyse judiciaire et d’éventuelles poursuites. Ces données peuvent empêcher d’autres intrusions et aider le personnel à démasquer la personne à l’origine de l’attaque.
Gestion des vulnérabilités
La gestion des vulnérabilités consiste à analyser un environnement afin d’en identifier les points faibles (comme un logiciel sans correctif) et de hiérarchiser les mesures à prendre en fonction des risques.
Dans de nombreux réseaux, les entreprises ajoutent constamment des applications, des utilisateurs, des éléments d’infrastructure, etc. Il est donc important d’analyser en permanence le réseau afin de détecter les vulnérabilités potentielles. La détection d’une vulnérabilité avant un incident peut épargner à votre entreprise les coûts catastrophiques d’une intrusion.