Securite des donnees

Securite des donnees

Sécurité des données

En sécurité des systèmes d'information, la sécurité des données est la branche qui s'intéresse principalement aux données, en complément des aspects de traitement de l'information.

Sommaire

Rappel sur les données informatiques

Depuis le début de l'Histoire (apparition de l'écriture), l'homme manipule des informations, qui se traduisent par des données, plus ou moins structurées.

L'avènement de l'informatique depuis la fin des années 1940 aux États-Unis a introduit une forme numérique de données, enregistrées sur des supports électroniques. Cette évolution est comparable à l'avènement de l'imprimerie au XVe siècle dans les années 1450.

À la base, le support des données est la mémoire de l'ordinateur, sur laquelle opèrent les instructions élémentaires des programmes informatiques.

Il n'est pas possible de traiter la sécurité des données, sans rappeler cet aspect fondamental :

Les données sont traitées avec des matériels informatiques et des systèmes d'exploitation.

Sur les différents types de matériels informatiques (avec leurs périphériques), des supercalculateurs aux micro-ordinateurs, en passant par les ordinateurs centraux et les systèmes ouverts, on trouve toujours les différents types de support physique suivants :

Les données peuvent circuler entre ces systèmes dans des réseaux physique de communication : réseaux de télécommunications, réseaux locaux, réseaux de télécommunications par satellites

Sur les supports physiques, on doit implanter des systèmes qui gèrent les accès aux données et leur traitement : les accès logiques de ces systèmes peuvent être de type séquentiel ou indexé, les fichiers étant le plus souvent remplacés par des bases de données permettant des accès et mises à jour plus évoluées.

Les systèmes de gestion de bases de données (SGBD) sont du niveau logiciel de base, et permettent à l'ordinateur de gérer ces différents types de traitement sur les données.

On distingue les niveaux :

  • Conceptuel,
  • Logique,
  • Physique.

Bref historique de la sécurité des données

Au cours des dernières années, la mondialisation, spécialement sous ses aspects économiques et financiers, a engendré des projets informatiques de dimension mondiale.

On notera en particulier le passage informatique à l'an 2000 (Y2K), qui a nécessité la vérification et la conversion de 300 à 600 milliards de lignes de programme potentiellement affectées dans le monde (estimation du Gartner Group).

En Europe, le chantier du passage à l'euro a représenté un coût sensiblement équivalent à celui du passage informatique à l'an 2000 sur le périmètre européen. Le projet s'est déroulé en deux phases : première phase début 1999 avec le passage à l'euro des marchés financiers et des applications financières des entreprises, deuxième phase, de loin la plus importante, la conversion de la plupart des autres applications informatiques, qui ne put s'effectuer en général qu'en 2000 et 2001, pour des questions de contraintes par rapport au passage informatique à l'an 2000 (Y2K) [1], et par rapport aux exercices comptables.

Dans ces deux projets, les exigences d'interopérabilité et les données informatiques ont joué un rôle essentiel, puisqu'il s'agissait du format des champs date (une métadonnée) et devise dans les systèmes et les enregistrements informatiques.

Du point de vue du matériel informatique, en Europe, le passage informatique à l'an 2000 a représenté un impact plus important que le passage à l'euro. En d'autres termes, on pourrait dire que le passage informatique à l'an 2000 a comporté des aspects plus techniques, alors que le passage à l'euro a représenté des enjeux plutôt fonctionnels.

En 1991, le département de la Défense des États-Unis a mis au point des critères communs de sécurité (voir TCSEC), et simultanément les organisations européennes ont défini une politique de sécurité des systèmes d'information (ITSEC).

Les enjeux de la sécurité des données

Au niveau des personnes et des organisations

Les enjeux de la sécurité des données sont les suivants (cette liste est loin d'être exhaustive) :

  • Achats : demandes d'achat (dans l'aéronautique, l'automobile… par exemple), critères utilisés pour le choix des fournisseurs.

La sécurité des données implique certaines façons de structurer les données.

Au niveau macroéconomique

En ingénierie des systèmes, les enjeux de sécurité des données sont aujourd'hui très importants, du fait des interconnexions multiples entre systèmes hétérogènes et répartis, que ce soit dans les systèmes de contrôle industriels, dans les systèmes de transport, dans les applications de gouvernance d'entreprise et de gestion intégrée, dans les applications d'ingénierie des connaissances, dans les systèmes décisionnels, dans les systèmes des marchés financiers

Ces systèmes se rencontrent aujourd’hui dans des organismes très différents : entreprises, services publics, institutions internationales, administrations centrales et territoriales (régions et villes), centres d'études et de recherches, universités, grandes écoles, chambres de commerce et d'industrie. On parle quelquefois de parties prenantes (traduction de l'anglais stakeholder, littéralement, chasseur d'enjeux).

On trouvera une illustration de la diversité des systèmes physiques concernés dans l'article cohérence des données en univers réparti.

Pour approfondir :

  • Sur les différents aspects de la sécurité, voir l'article sécurité.
  • Sur les aspects liés à la communication, voir communication,
  • Sur les enjeux liés spécifiquement à l'interconnexion des systèmes physiques, on peut consulter l'article interopérabilité.
  • Sur les risques, voir risque.

Avec l'avènement des technologies de l'intelligence collective et de la connaissance (TICC, expression de Bernard Besson), il y a des risques de perte de compétences dans les entreprises, si les usages des informations ne sont pas bien définis par rapport au contexte, et si la communication est mal contrôlée.

Voir :

L'enjeu le plus important est avant tout humain : il s'agit de préserver le capital intellectuel.

En termes techniques, on parle d'une classification des "actifs", indispensable surtout pour l'ingénierie des connaissances.

Ces enjeux sont tels qu'ils posent des questions de souveraineté.

Rappel des concepts de sécurité de système d'information

Les aspects de la sécurité des systèmes d'information

On distingue en sécurité de l'information plusieurs aspects, qui sont d'ailleurs liés aux données :

La norme ISO 13335 (qui n'existe qu'en anglais) mentionne également la non-répudiation, la gestion de la preuve (imputabilité), et l'authentification :

Les concepts fondamentaux

Article détaillé : Critères communs.

Les critères communs (en anglais common criteria), définis au niveau international, doivent être documentés sous la forme de profils de protection, ceux-ci étant des informations essentielles pour s'assurer de la sécurité des informations, au plus haut niveau.

Article détaillé : Profil de protection.

En urbanisation des systèmes d'information, en préalable à l'établissement de toute cartographie des données, il est nécessaire de procéder à l'« alignement stratégique », dans lequel la définition du profil de protection est l'un des principaux prérequis.

Les acteurs de la sécurité des systèmes d'information

Article détaillé : Tiers de confiance.

Les professionnels de la sécurité des systèmes d'information reconnaissent trois types d'acteurs de la sécurité :

  • l'autorité de certification,
  • l'autorité d'enregistrement,
  • l'opérateur de certification.

En 1991, l'Europe a défini un standard d'organisation de politique de sécurité, ITSEC, qui n'a pas obtenu le statut de norme internationale (ISO).

Dans chaque grande entreprise, on trouve un responsable de la sécurité des systèmes d'information (RSSI), qui dépend hiérarchiquement du directeur informatique ou du directeur de la sécurité selon les cas. Si le RSSI dépend hiérarchiquement du directeur de la sécurité, il a des relations fonctionnelles avec le (ou les) directeurs informatiques (et réciproquement).

L'organisation

L'organisation de la sécurité des données est une partie essentielle de la sécurité des systèmes d'information. Elle doit être définie dans une politique de sécurité des systèmes d'information.

Cette politique doit indiquer les rôles respectifs des acteurs de l'entreprise et des tiers de confiance dans le processus de certification.

Une analyse globale par les données permettra de décliner la PSSI en politiques spécialisées (système informatique, réseaux…).

Le projet de sécurisation des données

Identification et évaluation des données sensibles

Pour sécuriser les données sensibles, il faut tout d'abord avoir conscience des actifs de l'entreprise à protéger, et de leur valeur.

Différentes classifications des actifs existent, sans qu'il y ait de normalisation de tous les types d'actifs.

Nous donnons ici une courte liste proposée par la norme ISO 13335-1 (concepts et modèles de sécurité informatique), dont nous rappelons qu'elle n'a pas été traduite en français :

Au sujet des personnes, on remarquera que, au-delà de l'état sanitaire, le savoir-faire est du plus grand intérêt pour l'entreprise. Son évaluation est capitale en ingénierie des connaissances.

Les méthodes comptables traditionnelles prennent mal en compte ce type de capital (voir capital).

Le modèle d'intelligence économique considère que l'enrichissement et la protection du patrimoine informationnel regroupent les points clés suivants :

  • L'éthique :
    • La protection de la vie privée et des données individuelles,
    • L'application d'une déontologie dans le recueil d'informations et les pratiques d'influence,
    • L'application d'une rigueur d"ontologique dans la sous-traitance d'information et de l'influence.
  • Les connaissances et les compétences :
    • L'identification et l'évaluation des connaissances et des compétences,
    • La protection (droit, propriété intellectuelle…),
    • La maîtrise des TIC.
  • La création de valeur, avec plusieurs types de valeurs :
    • Actionnaire,
    • Client,
    • Personnel,
    • Collectivité,
    • Partenaires (développement de l'innovation).
  • L'image :
    • Perception,
    • Evaluation,
    • Promotion.

Les méthodes d'audit d'intelligence économique et d'ingénierie des connaissances proposent également des questionnaires types permettant de répertorier les éléments de la mémoire d'entreprise, de les évaluer et de les structurer en processus métier, en parallèle aux processus de gestion administrative.

Ce sont tous ces actifs qu'il s'agit de sécuriser. Les études les plus récentes sur le capital immatériel, notamment l'étude du CIGREF effectuée en 2006, montrent que la fiabilité et l'auditabilité des données sont une condition nécessaire de l'évaluation du capital immatériel des entreprises, donc de l'évaluation du retour sur investissement des projets d'ingénierie des connaissances, et de la création de valeur.

Choix du tiers de confiance

Article détaillé : Tiers de confiance.

Dans le cadre de la stratégie de l'organisme, et de sa politique de sécurité des systèmes d'information, les responsables du SI doivent veiller avec le plus grand soin au choix du tiers de confiance en fonction du profil de protection proposé.

Conception de l'architecture de données sécurisée

Article détaillé : Profil de protection.

De l'avis même des experts, il existe une relation entre la sécurité et l'architecture des systèmes d'information.

L'évaluation et l'implémentation du profil de protection demandent d'examiner les critères communs, en les positionnant au niveau adéquat du système d'information. L'utilisation d'un méta-modèle d'urbanisme peut aider à trouver des repères communs pour évaluer et implémenter un profil de protection, car les impacts de la sécurisation peuvent se trouver à tous les niveaux, du matériel informatique, jusqu'à toutes les couches de logiciels et aux réseaux.

Les projets de système d'information, éventuellement le chantier d'urbanisation du système d'information s'il existe, devront intégrer les données correspondant à la sécurité de l'information.

Pour répondre aux enjeux de niveau microéconomique, il est nécessaire de mettre en œuvre des normes de gestion des enregistrements (record management, voir liste de normes ISO par domaines). Il faut structurer les données qui indexent les documents, essentiellement les clients, les produits et les services (métadonnées), et faire en sorte que ces données aient des structures comparables pour pouvoir faire dialoguer les applications de gestion administrative et les applications d'ingénierie des connaissances (documentation, sites web, forums, information dite non structurée).

Exemple : le processus achat doit pouvoir identifier avec beaucoup de précision, au niveau de la demande d'achat, les documents de spécification des composants d'un moteur d'avion que l'on souhaite acheter à un fournisseur. Il s'agit de la traçabilité, de l'analyse du cycle de vie, de l'évaluation du prix (TCO), de la responsabilité du fait des produits défectueux, et également de l'image.

L'utilisation d'une infrastructure de clé publique (PKI) n'apportera une sécurité réelle, dans les applications en réseaux complexes, que si elle est associée à l'utilisation d'un registre de métadonnées. A l'élément identifiant, on pourra associer le certificat électronique.

Organisation du programme

Une bonne sécurité des données sera obtenue par la mise en place d'une politique de sécurité des systèmes d'information (voir l'article détaillé).

La norme ISO 13335, élaborée en 1996, donnait déjà les grandes lignes d'un programme de gestion de la sécurité, qui se trouvait être un enjeu important à ce moment-là.

Un tel programme se situe à plusieurs niveaux des organisations :

  • Le niveau département (ou business unit),
  • le niveau domaine ou projet, ou l'on trouve l'administrateur.

En général, aux niveaux inférieurs de la hiérarchie, la personne chargée de la sécurité n'a pas cette seule tâche. Il s'agit le plus souvent d'un correspondant, qui a d'autres responsabilités en parallèle.


Le programme ne peut être efficace que si l'on met en place un comité de pilotage. Les méthodes contemporaines de discussion sont les forums. La sécurité informatique devrait donc faire l'objet d'un forum particulier, dont les rôles sont :

Un tel forum pourrait comprendre les représentants ou correspondants sécurité, qui ont pour rôle d'examiner les liens avec d'autres programmes. On peut citer :

Quelques aspects de la sécurité des données

Exigences de sécurité

D'une façon générale, les exigences de sécurité des systèmes d'information sont analysées avec l'échelle Evaluation Assurance Level.

Pour les applications civiles, les exigences de sécurité ne dépassent en général pas le niveau EAL 4+.

Pour les applications militaires, les exigences de sécurité vont des EAL 5 à 7.

La sécurité globale d'un système d'information sera celle du maillon le plus faible, et sera bien représentée par la sécurité des bases de données ou celle des interfaces entre les applications. Il est donc crucial de s'intéresser aux EAL des SGBD et des systèmes d'interfaçage (bus informatiques, EAI).

Dans le cas du logiciel libre, les niveaux de sécurité des bases de données employées (MySQL,...) sont en général assez bas dans l'échelle EAL, en raison de la moindre puissance financière des communautés de logiciel libre.

Protection du patrimoine informationnel

Article détaillé : Patrimoine informationnel.

Une protection efficace du patrimoine informationnel nécessite avant tout une étude approfondie du cadre juridique. Il est très important de prendre conscience qu'il existe une hiérarchie dans la réglementation. Par exemple, dans l'Union européenne, les directives européennes priment sur les lois des États membres (hiérarchie des normes).

On doit croiser cette étude juridique avec :

Il est nécessaire de bien structurer à la fois les données et les communautés de pratique, qui ont en commun le domaine d'activité et le niveau de sécurité. C'est un aspect important de la gestion de contenu.

On doit utiliser les métadonnées d'une façon normalisée avec un registre de métadonnées. On doit examiner comment intervient chaque élément dans la sécurité, ainsi que les raffinements associés, comme par exemple : identifiant et certificat électronique associé, nature du document, portée du document, droits, audience, etc.

Gestion de la preuve

Article détaillé : Gestion de la preuve.

(records management en anglais).

En pratique, la sécurité des données doit se mettre en œuvre par des actions concernant l'enregistrement des données électroniques.

Article détaillé : Enregistrement des données.

Sécurité des enregistrements

Les données qui permettent de gérer la sécurité, liées au profil de protection à choisir (ou choisi), doivent être positionnées dans le système d'information de telle manière que l'enregistrement effectué puisse fournir la preuve des actions d'une personne ou d'une entreprise et des affaires correspondantes.

La gestion de la preuve fait l'objet d'une norme, la norme ISO 15489 (en anglais et en français).

Article détaillé : ISO 15489.

Enregistrement des données et gestion de la preuve

La sécurité et l'enregistrement des données et la gestion de la preuve sont donc en relation très étroite.

Il ne peut pas y avoir de bonne gestion de la preuve, sans un bon enregistrement des données tout au long du cycle de vie et des processus associés (filières). Ainsi, il faut décrire de façon très précise les impacts sur les opérations suivantes :

Ces processus sont de la plus haute importance en informatique, car ils contiennent le capital des connaissances dites explicites, en langage d'ingénierie des connaissances.

En fin de compte, on ne peut évidemment pas découpler totalement les aspects données et traitements de l'information, de sorte que le choix de l'architecture de données impacte fortement l'architecture physique de l'ordinateur, et en particulier sa capacité à effectuer des processus en multitâches (voir aussi multiprocesseurs). C'est la raison pour laquelle il est préférable d'étudier la sécurisation des données dans le cadre d'une démarche d'urbanisation des systèmes d'information.

Protection des données personnelles

Il existe dans l'Union européenne des règlements sur la protection de la vie privée, en particulier la directive 95/46 du 24 octobre 1995 sur la protection des données. Le G29 est un groupe européen chargé de coordonner les autorités de protection des données de l’Union européenne.

Intégrité référentielle

Article détaillé : Intégrité référentielle.

Normalisation et certification

Normalisation

Les normes applicables sont :

Sur les métadonnées en particulier, voir Normalisation des métadonnées.

Sur la gestion de la preuve ou imputabilité (records management en anglais), voir ISO 15489 et Métadonnées et traçabilité.

La norme ISO 27000 est une norme générale sur la sécurité du système d'information.

Certification

Pour l'application de la norme ISO 15408, en France, il existe 6 CESTI (centres d'évaluation de la sécurité des technologies de l'information) chargés de l'évaluation :

  • Algoriel,
  • AQL (Silicomp),
  • CEA LETI,
  • CEACI,
  • Oppida,
  • Serma technologies.

En dernière instance, c'est la DCSSI qui valide l'agrément et délivre le certificat.

Références

  • Défense nationale et sécurité collective, février 2006,
  • Prévenir les risques. Agir en organisation responsable. Andrée Charles, Farid Baddache. Editions AFNOR. 2006. ISBN 2-1247-5519-6.
  • Fonction Risk manager, Catherine Véret, Richard Mekouar, Dunod, ISBN 2 10 048697 7, 2005
  • 100 questions pour comprendre et agir. Gestion des risques. Jean-Paul Louisot, avec la participation de Jacques Lautour. AFNOR et CARM Institute (Cercle des Affaires en Risk Management). 2005 - ISBN 2-12-475087-9
  • Modèle d'intelligence économique, AFDIE, Economica, Bernard Besson, Dominique Fonvielle, 2004.
  • L'audit d'intelligence économique, mettre en place et optimiser un dispositif coordonné d'intelligence collective, Bernard Besson et Jean-Claude Possin, ISBN 2 10 006699 4, Dunod, 2002,
  • Convaincre pour urbaniser le SI, Jean-Christophe Bonne et Aldo Maddaloni, Lavoisier, 2004.
  • Management du risque. Approche globale. AFNOR. 2002. ISBN. 2-12-169211-8
  • Traité des nouveaux risques - Précaution, crise, assurance, Olivier Godard, Claude Henry, Patrick Lagadec, Erwann Michel Kerjen, Folio actuel inédit 2002.
  • Revue française du marketing, n° 200, décembre 2004.

Voir aussi

Dans la Wikipedia anglophone :

Sur les enjeux liés au contexte de communication

Sur la sécurité des systèmes d'information

Sur la gestion de projet

Sur la normalisation

Notes et références

  1. Conférence du 30 avril 1998 sur l'internet

Liens externes

http://www.mitre.org/news/the_edge/february_01/highlights.html
http://www.mitre.org/work/tech_papers/tech_papers_98/nims_information/nims_info.pdf (1998)
  • Portail de la sécurité de l’information Portail de la sécurité de l’information
  • Portail de l’informatique Portail de l’informatique
Ce document provient de « S%C3%A9curit%C3%A9 des donn%C3%A9es ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Securite des donnees de Wikipédia en français (auteurs)

Игры ⚽ Нужен реферат?

Regardez d'autres dictionnaires:

  • Sécurité des données — En sécurité des systèmes d information, la sécurité des données est la branche qui s intéresse principalement aux données, en complément des aspects de traitement de l information. Sommaire 1 Rappel sur les données informatiques 2 Bref historique …   Wikipédia en Français

  • Sécurité des données informatiques — Sécurité des données En sécurité des systèmes d information, la sécurité des données est la branche qui s intéresse principalement aux données, en complément des aspects de traitement de l information. Sommaire 1 Rappel sur les données… …   Wikipédia en Français

  • Securite des systemes d'information — Sécurité du système d information La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité de l… …   Wikipédia en Français

  • Sécurité des Systèmes d’Information — Sécurité du système d information La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité de l… …   Wikipédia en Français

  • Sécurité des systèmes d’information — Sécurité du système d information La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité de l… …   Wikipédia en Français

  • Sécurité des systèmes d'information — La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité du système d information. Assurer la sécurité… …   Wikipédia en Français

  • Sécurisation des données — Sécurité des données En sécurité des systèmes d information, la sécurité des données est la branche qui s intéresse principalement aux données, en complément des aspects de traitement de l information. Sommaire 1 Rappel sur les données… …   Wikipédia en Français

  • Sécurité des informations — Sécurité de l information La sécurité de l information est un processus visant à protéger des données contre l accès, l utilisation, la diffusion, la destruction, ou la modification non autorisée. La sécurité de l information n est confinée ni… …   Wikipédia en Français

  • Securite des reacteurs chimiques — Sécurité des réacteurs chimiques La réaction chimique, en vertu des énergies considérables qu elle implique, peut mener, si elle est conduite de manière non contrôlée, à des accidents extrêmement graves, comme des explosions, qui peuvent être… …   Wikipédia en Français

  • Gestion Des Données — La gestion des données aussi appelée gestion en jargon informatique comprend toutes les disciplines relatives à la gestion des données en tant que ressources numériques valorisables. Selon la définition de DAMA, la gestion de la ressource donnée… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”