Un bien précieux !
Dans notre société du 21e siècle, les informations sont un bien précieux. Et, comme tous les autres biens précieux, elles doivent être protégées. Jusqu'il y a peu, protéger les données était relativement simple. Chaque organisation possédait son propre réseau informatique fermé que quelques simples mesures suffisaient à sécuriser.
Une bonne serrure à l'entrée du local informatique, un bon programme et un backup quotidien, … et l'affaire était dans le sac! Mais, les choses ont changé et cette époque est bel et bien révolue. Les nouvelles technologies de l'information ont provoqué un véritable raz-de-marée. Aujourd'hui, tout le monde ou presque est connecté à internet et la communication se déchaîne. La salle d'informatique d'antan s'est transformée en un gigantesque réseau qui exige des mesures de protection nettement plus complexes.
Avant de se lancer dans l'élaboration d'une politique de sécurité des informations, il faut bien sûr savoir ce qu'est une "information sécurisée" ou en d'autres termes ce qu'est la "sécurité de l'information". Si la qualité de certaines informations peut s'avérer vitale pour la survie d'une entreprise, leur exactitude peut l'être tout autant et il vaut parfois mieux ne pas communiquer d'informations plutôt que de communiquer des informations inexactes.
Supposez que le grand magasin dans lequel vous faites vos courses annonce que dans le cadre d'une grande campagne publicitaire tous les clients qui ont leur anniversaire ont droit à un cadeau. Malheureusement pour vous, le magasin perd les données de toute une série de clients, dont les vôtres, et tous les clients dont les données ont été perdues n'ont pas droit à ce cadeau. Imaginez la contre-publicité que cette situation va entraîner pour ce magasin et tout ce qu'il devra mettre en œuvre pour récupérer les clients perdus …
Des informations de bonne qualité sont donc des informations exactes, bien protégées et sûres.
Cette sécurité de l'information peut être testée sur la base de sept caractéristiques aussi appelées attributs de sécurité qui sont les suivants. La confidentialité : seules les personnes y habilitées ont accès aux informations, l'intégrité : les informations ne peuvent pas être modifiées intentionnellement ou non intentionnellement, la disponibilité: les informations sont accessibles et utilisables chaque fois qu'une personne y habilitée le demande, l'imputabilité : signifie qu'on dispose toujours d'une trace de l'auteur et du traitement à proprement parler de l'information, la non-répudiation : elle permet de prouver qu'un traitement ou un événement a réellement eu lieu et d'empêcher qu'ils ne soient niés ultérieurement, l'authenticité : qui prouve qu'une personne est bien celle qu'elle prétend être et enfin la fiabilité qui désigne le fait d'atteindre le résultat escompté. Lorsque des informations possèdent ces sept attributs, elles peuvent être qualifiées de sécurisées et donc de qualité.
Dès que les informations contiennent aussi des données à caractère personnel, le Règlement général sur la protection des données entre en jeu et s'applique. Ce règlement va un pas plus loin encore et fixe des conditions supplémentaires auxquelles les informations qui contiennent des données à caractère personnel doivent satisfaire pour être sûres et protégées. Elles doivent, ainsi, entre autres, être traitées loyalement et licitement, être collectées pour des finalités déterminées, être adéquates, pertinentes et non excessives, être exactes et si nécessaire être régulièrement mises à jour et elles ne peuvent pas être conservées plus longtemps que nécessaire.
Toute entreprise ou organisation doit aussi prendre une série de mesures pour protéger suffisamment les données à caractère personnel qu'elle traite. Elle doit :
- respecter les droits des personnes concernées ;
- veiller à ce que les données soient en permanence exactes ou les supprimer le cas échéant ;
- veiller à ce que seuls les traitements nécessaires à la réalisation de la finalité poursuivie soient effectués ;
- limiter l'accès aux données à caractère personnel aux personnes y habilitées (autorisation) ;
- protéger les données aussi longtemps qu'elles existent.
Maintenant que nous connaissons les attributs que doivent posséder les informations pour être sécurisées, nous pouvons enfin élaborer un bon système de gestion de la sécurité des données pour les protéger et garantir le maintien de leur niveau de qualité. Comme mentionné précédemment: la qualité irréprochable des informations est une nécessité absolue à la survie des organisations.
Pour maintenir ce niveau de sécurité des informations on peut opter pour différentes méthodes. Certaines sont plus chères que d'autres. Il convient donc de soigneusement identifier les dangers potentiels et de déterminer les mesures à prendre pour les éliminer ou les réduire. Si les risques sont faibles, cela n'a aucun sens de prendre des mesures de sécurité lourdes et complexes.
La protection des données se doit donc d'être réfléchie et raisonnable et demande partant une approche méthodique.
C'est ce qu'on appelle la gestion des risques. Avant tout, il convient dans ce cadre de définir les risques auxquels sont exposées les données. Dans un deuxième temps, il faut décider des risques à traiter et des risques acceptables. Pour cela, les risques sont répertoriés sur une liste par ordre décroissant d'importance et cette liste est ensuite utilisée pour élaborer les procédures de sécurité souhaitées.
Une fois les mesures et les systèmes de sécurité mis en place, il faut vérifier, chaque jour, s'ils sont efficaces et si toutes les règles de sécurité sont respectées de sorte à pouvoir être sûr de cette sécurité à tout moment. C'est ce qu'on appelle la gestion quotidienne de la sécurité. Si un incident se produit malgré tout, il faut en étudier les causes et déterminer de quelle manière l'éviter à l'avenir. Dès que toutes ces étapes sont réalisées, il ne reste plus qu'à adapter les mesures de sécurité.
Cette adaptation des mesures de sécurité se fait à l'aide d'un système de management qui permet de sans cesse améliorer et adapter la protection des données aux nouvelles conditions et aux nouvelles technologies.