Glossaire relatif à la confidentialité

Sécurité de l’information

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que la sécurité de l’information ?

La sécurité de l’information fait référence aux outils et procédures qu’une organisation adopte pour protéger les informations et les systèmes associés contre les accès, l’utilisation, la divulgation, la perturbation, la modification ou la destruction non autorisés. Toutes les organisations traitent certaines informations, qu’il s’agisse de propriété intellectuelle, de documents classifiés ou de données d’utilisateurs ou de clients. Protéger ces informations peut impliquer la technologie, la sécurité physique et bien plus encore.

La pratique de la sécurité de l’information (InfoSec pour faire court) englobe les politiques et procédures, le matériel, les logiciels, la formation et les infrastructures physiques. Les entreprises, les gouvernements et d’autres organisations utilisent ces outils pour protéger les informations dont ils sont responsables et s’assurer qu’en cas de problème, ils peuvent réduire les dommages causés par cette perte. Les informations protégées peuvent être électroniques ou physiques (dossiers papier, prototypes, etc.).

Les bases de l’InfoSec.

L’InfoSec est un domaine vaste et complexe. L’InfoSec est un domaine vaste et complexe. Cependant, il y a quelques principes qui s’appliquent dans tous les cas :

  • Les informations doivent être protégées contre les personnes qui n’ont aucun droit de les consulter.
  • Les informations doivent être protégées contre les personnes qui n’y ont pas droit
  • Les informations doivent être exactes, à jour et fiables

Atteindre ces trois objectifs est un exercice d’équilibre. D’une part, rendre l’accès aux informations difficile signifie que les « mauvaises » personnes (par exemple, les hackers) ne peuvent pas y accéder. D’une part, rendre l’accès aux informations difficile signifie que les « mauvaises » personnes ne peuvent pas y accéder (par exemple, les hackers). Mais si l’accès est trop difficile, les « bonnes » personnes (par exemple, les administrateurs systèmes) auront aussi du mal à y accéder. Cela peut signifier que les informations ne sont pas bien maintenues.

Le domaine de la sécurité de l’information n’est pas le même que la cybersécurité cybersécurité. Le domaine de la sécurité de l’information n’est pas le même que la cybersécurité.

Que protège l’InfoSec ?

Les menaces pour les données d’une organisation peuvent provenir de nombreuses sources. Les menaces pesant sur les données d’une organisation peuvent provenir de nombreuses sources. Certaines sont malveillantes et intentionnelles, comme les mauvais acteurs qui tentent de voler des informations personnelles. Certains risques peuvent provenir d’erreurs humaines ou de négligence.

Indépendamment de la source de la menace, les dangers sont les mêmes : un ou plusieurs des objectifs de base de la protection des informations sont compromis. Les menaces malveillantes peuvent être à la fois électroniques et physiques. Les menaces physiques sont principalement des vols d’actifs. Cela peut se produire sur les locaux de l’organisation ou en dehors, comme le vol d’un ordinateur portable lors d’un voyage. Le hameçonnage (phishing) et les autres formes d’ingénierie sociale peuvent entraîner l’installation de logiciels malveillants (malware) et de rançongiciels (ransomware). Des menaces comme les botnets peuvent lancer des attaques DDoS (déni de service) ou utiliser des logiciels de craquage de mots de passe sophistiqués pour forcer leur entrée dans des systèmes sécurisés. Les dangers comme les botnets peuvent lancer des attaques DDoS (déni de service) ou utiliser des logiciels de craquage de mots de passe sophistiqués pour accéder de force aux systèmes sécurisés.

Les catastrophes naturelles, les dysfonctionnements du système et les erreurs humaines ne sont pas des événements malveillants, mais ils ont le potentiel de causer autant de dommages. Les procédures de sécurité de l’information doivent inclure des plans pour les pannes de système, les coupures de courant et les dommages aux infrastructures. La formation du personnel peut aider à réduire les risques d’erreurs humaines.

Éléments de protection de la sécurité de l’information

Les pratiques de sécurité de l’information incluent divers éléments, tels que :

  • Sécurité des applications : Protège les données et les systèmes contre les vulnérabilités des logiciels et des API. La sécurité des applications peut utiliser la surveillance anti-virus, les pare-feu et des exigences de mot de passe/connexion fortes.
  • Chiffrement des données : Les données chiffrées ne peuvent être déchiffrées que par les personnes autorisées utilisant les canaux acceptés pour accéder aux données. La meilleure pratique consiste à chiffrer les données à la fois en transit et pendant leur stockage.
  • Sécurité de l’infrastructure : Cet aspect de la sécurité de l’information se concentre sur le contrôle de l’accès physique aux informations ou aux systèmes qui stockent et maintiennent les données. La sécurité de l’infrastructure couvre les personnes autorisées à accéder aux bâtiments et aux centres de données, et comment protéger les ordinateurs portables et les appareils mobiles contre le vol.
  • Sécurité du cloud : Avec de plus en plus d’organisations utilisant des plateformes de données distantes gérées par des tiers, évaluer et surveiller la sécurité de ces fournisseurs de services est devenu un élément important de la sécurité de l’information.
  • Formation du personnel : Les menaces internes sont considérées comme le plus grand défi de la sécurité de l’information. Une menace interne signifie tout simplement que la menace provient de l’intérieur de l’organisation. Elle peut être malveillante, mais souvent elle est accidentelle, comme un e-mail envoyé à la mauvaise personne ; un employé cliquant sur le mauvais lien et téléchargeant un logiciel malveillant via un hameçonnage ; ou un ancien employé mécontent conservant des identifiants d’accès. La sécurité de l’information aborde certaines de ces menaces par la formation du personnel : comment fonctionnent les processus de sécurité, pourquoi ils doivent être suivis, et le rôle du membre du personnel dans le maintien de la sécurité.
  • Plans de réponse : Prendre les mesures discutées ci-dessus diminuera le risque d’une attaque réussie, mais ils ne peuvent pas éliminer complètement le risque. Il est important d’avoir des plans de réponse pour savoir quoi faire en cas d’attaque réussie. Ces plans concernent la récupération des données perdues ou compromises et la capacité de l’organisation à continuer de fonctionner pendant cette récupération.
  • Surveillance : Les attaques sur les systèmes d’information sont en constante évolution. Une organisation doit surveiller l’efficacité de ses processus de sécurité de l’information et les mettre à jour si nécessaire pour améliorer les résultats et se préparer à de nouvelles sortes de menaces.

Le programme de sécurité de l’information d’une organisation est adapté à ses besoins individuels. Cependant, il peut également être influencé par des forces extérieures, telles que les réglementations. Le RGPD et HIPAA sont deux exemples de réglementations qui dictent des normes à respecter.

Comment puis-je savoir si mes données sont protégées ?

En tant qu’individu, vous avez une influence limitée sur les protocoles de sécurité d’une organisation extérieure. Une fois vos données dans la base de données de quelqu’un d’autre, vous devez compter sur leurs programmes InfoSec pour les protéger contre des événements comme une violation de données. Toutefois, vous pouvez faire preuve de prudence quant à l’endroit et au moment où fournir vos données personnelles, afin qu’elles soient moins exposées dès le départ :

  • Utilisez des mots de passe différents pour chaque site et application. Utilisez un gestionnaire de mots de passe pour stocker en toute sécurité tous vos mots de passe et générer des mots de passe aléatoires et uniques pour chaque compte et site web que vous accédez. Si tous vos mots de passe sont différents, il est beaucoup plus probable qu’une violation exposant un mot de passe ne compromettra qu’un seul compte.
  • Minimisez le nombre d’endroits où vos données sont stockées, afin de réduire ainsi l’exposition possible au vol de données. Par exemple, mettez en place des paiements automatiques via le système de paiement de factures de votre banque plutôt que sur chaque site de compte. Cela réduit le nombre de bases de données où les informations de votre compte bancaire sont stockées.
  • Ne donnez pas vos données à des organisations qui semblent vouloir collecter plus de données que nécessaire, ou qui ont un mauvais historique en matière de sécurité de l’information.
  • Activez l’authentification à deux facteurs (2FA), ou l’authentification multifacteur, sur chaque compte qui le permet. (Il s’agit généralement d’un code numérique unique et à usage unique, qui est également requis avant de pouvoir accéder à votre compte sur un site ou une application). Même si une violation de données expose votre mot de passe, ceux qui obtiennent votre mot de passe n’auront pas la seconde partie nécessaire de votre connexion (ou facteur), et seront donc toujours bloqués d’accéder à vos comptes. En général, la 2FA basée sur SMS n’est pas non plus recommandée, sauf si c’est la seule option disponible. La 2FA basée sur SMS est susceptible à des attaques qui la rendent moins sécurisée que d’autres options.

L’utilisation d’un navigateur avec des protections solides de confidentialité et de sécurité, comme le navigateur Brave, limitera également le risque que vos données tombent entre de mauvaises mains:

  • Le navigateur Brave inclut la navigation sécurisée, qui peut aider à prévenir les violations de données en protégeant contre les sites web malveillants.
  • Le bloqueur de pub intégré de Brave, appelé Boucliers Brave, peut bloquer les publicités malveillantes et trompeuses, en partie grâce à l’utilisation de listes de filtres. C’est aussi plus sûr que les extensions du navigateur, qui peuvent elles-mêmes introduire de nouveaux risques pour la sécurité.

Brave met automatiquement à niveau les connexions vers le plus sécurisé HTTPS, ce qui signifie que vos données sont cryptées pendant leur transfert. Bien que cela ne garantisse pas que vos données soient stockées de manière cryptée, cela pourrait améliorer les chances. Vérifiez simplement que l’URL commence par https:// (et non « http:// ») pour en être sûr.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.