Quels sont les 5 critères de la sécurité IT ?
Comment préserver son activité grâce à la résilience informatique ?
12 mai , 2022
Les tendances des ransomwares en juillet 2022
25 juillet , 2022
Dans le monde numérique de plus en plus compétitif, l’information est une ressource précieuse qui nécessite une protection maximale. La sécurité IT fait partie intégrante de la gestion de votre entreprise et garantit que les informations vitales ne sont en aucun cas compromises.
La sécurisation des informations est primordiale pour la survie de votre entreprise. Par conséquent, il doit être protégé de manière proactive contre les attaques malveillantes, en particulier lorsque les informations commerciales sont transmises sur les réseaux.
Selon les chiffres publiés par la National Archives and Records Administration, plus de 60 % des entreprises qui ont subi une perte de données ont dû déclarer faillite durant l’année qui suit le désastre.
Un système d’information sécurisé repose sur les éléments clés cités ci-dessous. La mise en place correcte de ces derniers est essentielle au développement de tout type de mécanisme de sécurité IT dans votre entreprise.
1er critère de la sécurité IT : la confidentialité des données informatiques
L’un des critères les plus essentiels et les plus surveillés de nos jours concerne la confidentialité. Celle-ci fait référence aux efforts d’une organisation pour garder ses données privées ou secrètes, dans une politique de confidentialité par exemple. En pratique, il s’agit de contrôler l’accès aux données pour empêcher leur divulgation non autorisée. En règle générale, cela implique de s’assurer que seuls ceux qui sont autorisés ont accès à des actifs spécifiques et que ceux qui ne le sont pas sont activement empêchés d’obtenir l’accès. En outre, au sein d’un groupe d’utilisateurs autorisés, il peut y avoir des limitations supplémentaires plus strictes sur les informations précises auxquelles ces utilisateurs sont autorisés à accéder. Un exemple : il est évident que les clients du commerce électronique s’attendent à ce que les informations personnelles qu’ils fournissent à une organisation (telles que les informations de carte de crédit, de contact, d’expédition ou autres informations personnelles) soient protégées de manière à empêcher tout accès ou exposition non autorisé. La RGPD a été créer dans le but de renforcer la sécurité des données personnes sur internet. Ainsi, il est impératif pour toute entreprise ou organisme traitant des données personnelles de mettre en place des mesures internes visant à prévenir et réagir en cas d’incident ou faille de sécurité susceptible d’entraîner une violation de données personnelles.
La confidentialité peut être violée de plusieurs façons, par exemple par des attaques directes conçues pour obtenir un accès non autorisé aux systèmes, applications et bases de données afin de voler ou de falsifier des données. La reconnaissance du réseau et d’autres types d’analyses, l’écoute électronique et l’élévation des privilèges du système par un attaquant ne sont que quelques exemples.
Mais la confidentialité peut également être violée involontairement par une erreur humaine, une négligence ou des contrôles de sécurité inadéquats. Les exemples incluent le partage de comptes d’utilisateurs ; échec du cryptage des données ; des systèmes d’authentification médiocres, faibles ou inexistants ; et le vol d’équipement physique et de dispositifs de stockage.
Les contre-mesures pour protéger la confidentialité comprennent la classification et l’étiquetage des données ; des contrôles d’accès et des mécanismes d’authentification solides ; chiffrement des données en cours, en transit et en stockage ; stéganographie ; capacités d’effacement à distance ; et une éducation et une formation adéquates pour toutes les personnes ayant accès aux données.
2ème critère de la sécurité IT : l’intégrité des données
L’intégrité consiste à s’assurer que les données n’ont pas été falsifiées et qu’elles sont donc correctes, authentiques et fiables. Les clients du commerce électronique, par exemple, s’attendent à ce que les informations sur les produits et les prix soient exacts, et que la quantité, les prix, la disponibilité et d’autres informations ne soient pas modifiés après avoir passé une commande. Concernant la sécurité IT, prenons l’exemple des banques. Les clients des banques doivent pouvoir être sûrs que leurs informations bancaires et les soldes de leurs comptes n’ont pas été falsifiés.
Garantir l’intégrité implique de protéger les données en cours d’utilisation, en transit (par exemple lors de l’envoi d’un e-mail ou du chargement ou du téléchargement d’un fichier) et lorsqu’elles sont stockées, que ce soit sur un ordinateur portable, un périphérique de stockage portable, dans le centre de données ou dans le cloud via des services hébergés.
Comme c’est le cas avec la confidentialité, l’intégrité peut être compromise directement via un vecteur d’attaque (comme la falsification des systèmes de détection d’intrusion, la modification des fichiers de configuration ou la modification des journaux système pour échapper à la détection) ou involontairement, par une erreur humaine, un manque de soin, des erreurs de codage, ou des politiques, procédures et mécanismes de protection inadéquats.
Les contre-mesures qui protègent l’intégrité des données comprennent le chiffrement, le hachage, les signatures numériques, certificats numériques Les autorités de certification (AC) de confiance délivrent des certificats numériques aux organisations pour vérifier leur identité auprès des utilisateurs du site Web, les systèmes de détection de failles de sécurité (le test d’intrusion, …), l’audit (un véritable moyen de connaitre son niveau de sécurité), le contrôle de version, les mécanismes d’authentification forte et les contrôles d’accès.
Notez que l’intégrité va de pair avec le concept de non-répudiation : l’incapacité de nier quelque chose. En utilisant des signatures numériques dans les e-mails, par exemple, un expéditeur ne peut pas nier avoir envoyé un message, et le destinataire ne peut pas prétendre que le message reçu était différent de celui envoyé. La non-répudiation aide à garantir l’intégrité.
L’intégrité des données dans une base de données couvre tous les aspects de la qualité des données et progresse en exécutant plusieurs règles et procédures qui supervisent la manière dont les informations sont saisies, déposées, transmises, etc.
3ème critère de la sécurité IT : la disponibilité des données informatiques
Les systèmes, les applications et les données ont peu de valeur pour une organisation et ses clients s’ils ne sont pas accessibles lorsque les utilisateurs autorisés en ont besoin. Tout simplement, la disponibilité signifie que les réseaux, les systèmes et les applications sont opérationnels. Il garantit que les utilisateurs autorisés disposent d’un accès rapide et fiable aux ressources lorsqu’ils en ont besoin. Pour qu’un système démontre sa disponibilité, il doit disposer de systèmes informatiques, de contrôles de sécurité et de canaux de communication fonctionnant correctement. Les systèmes définis comme critiques (production d’électricité, équipements médicaux, systèmes de sécurité) ont souvent des exigences extrêmes liées à la disponibilité. La sécurité informatique est véritablement au cœur des problématiques d’aujourd’hui. Ces systèmes doivent être résilients contre les cyberattaques et disposer de protections contre les pannes de courant, les pannes matérielles et d’autres événements susceptibles d’avoir une incidence sur la disponibilité du système SI.
De nombreux éléments peuvent compromettre la disponibilité, notamment une panne matérielle ou logicielle, une panne de courant, des catastrophes naturelles et une erreur humaine. L’attaque la plus connue qui menace la disponibilité est peut-être l’attaque par déni de service (DoS), dans laquelle les performances d’un système, d’un site Web, d’une application Web ou d’un service Web sont dégradées de manière intentionnelle et malveillante, ou le système devient complètement inaccessible.
Les contre-mesures pour garantir la disponibilité incluent la redondance (dans les serveurs, les réseaux, les applications et les services), la tolérance aux pannes matérielles (pour les serveurs et le stockage), l’application régulière de correctifs logiciels et de mises à niveau du système, la sauvegarde externalisée, les plans complets de reprise après sinistre (PRA informatique, PCA, …) et la protection contre le déni de service.
4ème critère de la sécurité IT : la non-répudiation
Nos experts sont à votre service et répondent à vos questions en moins de 24h
La non-répudiation garantit qu’aucune partie ne peut nier avoir envoyé ou reçu un message via le cryptage et/ou des signatures numériques ou avoir approuvé certaines informations. Elle ne peut pas non plus nier l’authenticité de sa signature sur un document.
Bien qu’elle soit à l’origine un concept juridique, la non-répudiation est également largement utilisée dans l’informatique, la sécurité de l’information et les communications.
La non-répudiation est l’un des cinq critères de la sécurité IT, qui consiste à gérer les risques liés à l’information et à protéger les systèmes d’information, comme les ordinateurs, les serveurs et les réseaux d’entreprise.
Elle apporte la preuve de l’origine, de l’authenticité et de l’intégrité des données. Il fournit l’assurance à l’expéditeur que son message a été livré, ainsi qu’une preuve de l’identité de l’expéditeur au destinataire. De cette façon, aucune des parties ne peut nier qu’un message a été envoyé, reçu et traité.
La non-répudiation est comme l’authentification, en particulier en ce qui concerne la mise en œuvre. Par exemple, une signature de clé publique peut être un dispositif de non-répudiation si une seule partie peut produire des signatures.
En général, la non-répudiation combine à la fois l’authentification et l’intégrité.
Celle-ci est obtenue grâce à la cryptographie, comme les signatures numériques, et comprend d’autres services d’authentification, d’audit et de journalisation.
Dans les transactions en ligne, les signatures numériques garantissent qu’une partie ne peut plus tard nier l’envoi d’informations ou nier l’authenticité de sa signature. Une signature numérique est créée à l’aide de la clé privée d’une paire de clés asymétriques, qui est une cryptographie à clé publique, et vérifiée avec une clé publique correspondante.
Seul le détenteur de la clé privée peut accéder à cette clé et créer cette signature, prouvant qu’un document a été signé électroniquement par ce détenteur. Cela garantit qu’une personne ne peut pas nier ultérieurement qu’elle a fourni la signature, ce qui garantit la non-répudiation.
En cryptographie, un code d’authentification de message (MAC), également appelé balise, est utilisé pour authentifier un message ou confirmer que le message provient de l’expéditeur indiqué et n’a pas été modifié en cours de route. Contrairement aux signatures numériques, les valeurs MAC sont générées et vérifiées à l’aide de la même clé secrète, sur laquelle l’expéditeur et le destinataire doivent s’entendre avant d’initier les communications.
Un MAC peut protéger contre la falsification de message par quiconque ne connaît pas la clé secrète partagée, assurant à la fois l’intégrité et l’authentification. Cependant, les algorithmes MAC, comme le MAC basé sur le chiffrement et le MAC basé sur le hachage, ne peuvent pas fournir de non-répudiation.
Outre les signatures numériques, la non-répudiation est également utilisée dans les contrats numériques et les e-mails. La non-répudiation des e-mails implique des méthodes telles que le suivi des e-mails.
5ème critère de la sécurité IT : l’authentification
Cette mesure de sécurité IT est conçue pour établir la validité d’une transmission, d’un message ou d’un expéditeur, ou un moyen de vérifier l’autorisation d’un individu à recevoir des informations spécifiques. L’authentification empêche l’usurpation d’identité et oblige les utilisateurs à confirmer leur identité avant d’être autorisés à accéder aux systèmes et aux ressources. Cela inclut les noms d’utilisateur, les mots de passe, les e-mails, la biométrie et autres.
Dans l’environnement Windows, l’IAM (gestion des identités et des accès) est considéré comme faisant partie intégrante de Microsoft Active Directory. Les entreprises peuvent utiliser une variété d’outils IAM : de la PKI pour les petites et moyennes entreprises aux solutions d’entreprise pour la gestion des données, mais la PKI est la solution la plus populaire pour les entreprises de toutes tailles.
La PKI (key performance indicator) est une approche courante de chiffrement et d’authentification. Cette approche est utilisée aussi bien par les petites entreprises que par les grandes entreprises. C’est la technologie derrière les certificats numériques. Un certificat numérique remplit un objectif similaire à celui d’un permis de conduire ou d’un passeport, c’est une pièce d’identité qui prouve votre identité et fournit certaines allocations.
Un certificat numérique permet à son propriétaire de chiffrer, signer et authentifier. Par conséquent, PKI est la technologie qui vous permet de chiffrer des données, de signer numériquement des documents et de vous authentifier à l’aide de certificats.
L’authentification multifacteur (MFA) est une très bonne chose. La MFA combine deux méthodes d’authentification différentes (c’est-à-dire un mot de passe et un jeton) pour fournir une plus grande sécurité lors de la vérification de votre identité.
Poursuivant avec un exemple de compte bancaire en ligne, si un ami devinait le mot de passe de votre compte mais que l’authentification MFA était activée, l’accès lui serait refusé à moins qu’il n’ait également votre téléphone portable, connaisse le code PIN pour accéder au téléphone et a pu extraire le code unique nécessaire comme deuxième méthode de vérification.
Il en est de même pour les attaquants. S’ils sont capables de déchiffrer vos informations d’identification d’utilisateur et que la MFA est activée, ils sont plus que susceptibles d’être arrêtés juste avant l’accès.
De nombreuses organisations ont désormais besoin de MFA pour établir une connexion à leur réseau et à leurs programmes, une décision intelligente pour vous protéger au cas où vos informations d’identification seraient compromises.
Si l’un de vos systèmes sécurisés propose l’authentification MFA, je vous encourage à activer ce service pour renforcer la sécurité de vos informations personnelles.
L’authentification est devenue une pratique utile pour protéger les informations, tant pour les entreprises que pour les particuliers. Des mots de passe forts, de bonnes habitudes de partage et des outils MFA sont tous des moyens de protéger vos comptes et vos réseaux contre les compromis.
