Pleine confiance🌘 Les trois piliers de la sécurité de l'information
Un des objectifs de Pleine Confiance, c'est de t'aider à mettr en place les trois piliers de la sécurité de l'information dans ton entreprise.
On les nomme la triade CIA.
🌘 La triade CIA
La triade CIA, c'est le nom qu'on a donné aux trois piliers de la cybersécurité:
- Confidentialité
- Intégrité
- Accessibilité
C'est une traduction de l'anglais que j'ai fait, qui est un peu différente de la traduction officielle. Je vais t'expliquer pourquoi.
Les termes qui composent l'abréviation CIA ne proviennent pas de l'organisme américain du même nom, mais ils dateraient plutôt de l'Empire Romain !
🌘 Confidentialité
La confidentialité (confidentiality en anglais), c'est de s'assurer que seulement les personnes qui ont besoin d'accéder à des données y ont accès et personne d'autre. C'est aussi d'avoir le pouvoir de contrôler la disponibilité des données qui nous concernent.
La gestion des accès et le principal moyen que l'on va mettre en place pour respecter la confidentialité.
🌘 Intégrité
L'intégrité (integrity en anglais), c'est de s'assurer que les données ne sont pas modifiées sans que tu le souhaites. C'est aussi de s'assurer qu'elles dressent un portrait fidèle de la réalité.
Les signatures numériques et les sauvegardes sont des moyens utilisés pour garantir l'intégrité des données.
🌘 Accessibilité
La traduction officielle du mot availability, utilisé en anglais, c'est disponibilité.
Mais, je crois que ce n'est plus assez.
L'accessibilité, c'est de s'assurer que toutes les personnes qui ont besoin d'accéder à des données y ont accès au bon moment, avec les bons outils.
Je vais personnaliser cette définition pour ajouter un critère très important à mes yeux. L'accessibilité, c'est aussi d'avoir accès aux données dans le respect de nos capacités financières, physiques et mentales présentes et futures.
Les interfaces utilisateur et la redondance des systèmes sont des moyens qu'on utilise pour mettre en place l'accessibilité.
🌘 Pourquoi c'est essentiel
🌘 Pourquoi parler seulement de données ?
Dans ma perspective, le logiciel est un moyen d'accéder aux données et de les utiliser. Il est accessoire, et idéalement, il est une commodité. Ça veut dire qu'on peut le remplacer par un autre.
Tous les besoins qui sont adressés par l'informatique concernent les données et non les outils.
🌘 Pourquoi utiliser des logiciels libres ?
Pour garantir le principe d'accessibilité, il faut avoir la garantie que l'on aura toujours des logiciels qui vont pouvoir lire nos données.
La seule façon de s'en assurer, c'est au travers du logiciel libre. Les cercles de protection seront, le plus possible, construits avec ceux-ci. Mais, tu as toujours la liberté d'en choisir d'autres !
🌘 Pourquoi tout ça, c'est essentiel ?
La confidentialité est essentielle pour protéger le droit à la vie privée et à la propriété intellectuelle. Sans cette protection, toutes les informations qui nous concernent sont disponibles à tous et toutes, qui peuvent les utiliser contre nous. Elle protège aussi nos idées et nos créations lorsqu'elles ne sont pas encore publiées. C'est la gardienne de notre intimité professionnelle et personnelle.
L'intégrité est essentielle pour conserver la confiance envers l'informatique, d'un point de vue social et légal. En effet, si on ne pouvait pas avoir confiance envers les données que nous utilisons, le système démocratique et l'économie de marché serait grandement affectée. C'est aussi la gardienne de notre droit à la réputation.
L'accessibilité est essentielle pour que les systèmes informatiques soient utiles. Les logiciels et le matériel informatique sont l'interface entre les humains et les données. S'ils ne sont pas capables de créer ce lien, les données n'ont aucune valeur et sont inutilisables par l'humain.
🌘 Les secrets
Je vais maintenant te présenter ce qu'on cherche à protéger en premier en sécurité de l'information: les secrets de ton entreprise !
🌘 Qu'est-ce qu'un secret ?
Lorsqu'on développe des relations amicales, un des premiers gestes de confiance qu'on va démontrer, c'est de se partager des secrets. Certains bons amis vont jusqu'à partager leur journal intime avec leurs plus proches confidents.
Aujourd'hui, à l'ère numérique, les secrets ont changé de forme. Ils sont maintenant écrits, photographiés, filmés, et ils existent physiquement, souvent sur des ordinateurs qui ne nous appartiennent pas (le nuage).
Dans un contexte d'entreprise, on peut aller encore plus loin dans le dévoilement de secrets. Un ou une prête-plume doit connaitre l'intimité de ses client·es pour écrire à leur place.
Les professionnels de la santé en connaissent aussi beaucoup sur nous. On pourrait même dire parfois trop.
Sans oublier les gens en ressources humaines, qui échangent des données à la fois sur le comportement, les compétences, la situation financière et la santé des employés.
Et je vais, pour l'instant, t'épargner le sujet des entreprises du web qui accumulent tout sur ta vie sans ton consentement.
Tenir un secret peut être difficile. Tout un domaine d'expertise s'est développé pour les protéger. On parle de sécurité de l'information. Mais, en parallèle, une expertise tout aussi complexe existe pour déjouer la sécurité, le piratage.
On ne peut pas ignorer celle pour déjouer nos esprits et nous faire parler. Et je ne parle pas juste des policiers en interrogatoire, je parle des experts de l'ingénierie sociale.
Déjà ici, tu es probablement angoissée par mes propos. Et je ne t'ai même pas encore parlé de cyberguerre, ou de la militarisation des données.
Les conflits en Ukraine et en Palestine et l'espionnage industriel de la Chine en sont de malheureusement célèbres exemples.
Nos données valent cher, et c'est pour ça qu'on les prend en otage, qu'on les vole et qu'on les revend sur les différents marchés du capitalisme (que ce soit légal ou non, la frontière est floue).
Personne n'a peut-être déjà pris le temps de t'informer sur les bons moyens de te protéger des voleurs de secret.
Jusqu'à maintenant !
🌘 Quels sont les secrets de ton entreprise ?
Les secrets de ton entreprise, c'est tout ce qui pourrait nuire à tes activités si c'était dévoilé au grand jour :
- Les identifiants que tu utilises sur les systèmes informatiques
- Ton niveau de connaissances en sécurité de l'information
- Les failles connues de tes systèmes informatiques
- Tes stratégies et processus d'affaires
- Ta situation financière
- Tout litige actuellement devant les tribunaux
- Tes listes de clients et leurs informations personnelles
- Ta propriété intellectuelle et celle de tes clients
- Toute information permettant de t'identifier ou de se faire passer pour toi
🌘 Comment protéger nos secrets ?
Nous verrons trois stratégies principales pour protéger tes secrets:
- L'authentification ou l'identification de l'utilisateur
- L'autorisation ou la gestion des droits d'accès
- Le chiffrement ou la cryptographie