La sécurité n'est pas qu'une affaire de caméras!

Patrick Boucher
Novembre 04, 2014
Écrit par
Depuis plus de 10 ans, nous vérifions régulièrement les configurations et paramètres des systèmes d’information de nos clients afin de prévenir les incidents de sécurité ou, de façon plus regrettable, enquêter sur ceux survenus.

 

Durant ces années, nous avons constaté que pour trop d’entreprises, la sécurité se résume malheureusement à un cadenas ainsi que, dans certains cas, à une caméra de surveillance. 

Cette situation n’est pas du tout à l’avantage de ces entreprises. Celles-ci, avant de mettre en place de nouvelles mesures de sécurité, devraient revoir leur méthode de gestion du risque. 

Revenons à l'essentiel pour bien comprendre le contexte et quelques définitions. 

La sécurité des systèmes d’information est divisée en trois principaux éléments que l’on cherche à protéger : la confidentialité, l'intégrité et la disponibilité des renseignements. 

On dit qu'une action est un « incident » lorsqu'elle a un impact négatif sur la sécurité d'un actif. Les actifs d’une entreprise peuvent être de nature numérique (un logiciel, des bases de données, des fichiers, etc.) ou physique (de l'argent, un système, des documents papier, etc.).

Il convient d’appliquer des mesures de protection appropriées à ces actifs afin de prévenir les incidents. Dans ce contexte, trois types de mesures peuvent être mis en place :

1) des mesures préventives (avant un incident) : de sensibilisation, de mots de passe, de verrouillage automatique de porte, etc.;

2) des mesures de détection (pendant un incident) : de logiciel antivirus, de surveillance des journaux d’évènements, etc.;

3) des mesures correctives (après un incident) : d’utilisation de copies de sauvegarde, de plans de recouvrement, etc.  

Ces différentes mesures de protection peuvent également être de type physique (porte), procédural (gestion des changements) ou technique (coupe-feu, antivirus). 

Vous pouvez maintenant comprendre qu'il existe des centaines de mesures différentes en fonction de ce que l'on souhaite vraiment accomplir. Cela dit, avant de se demander quelle mesure est la plus appropriée dans un contexte donné, les responsables de la gestion du risque doivent d’abord être en mesure de répondre clairement aux questions suivantes :

* Que voulez-vous protéger? (de l'information, un système, la caisse, une transaction)

* Quel type de menace pèse-t-il sur ce que vous souhaitez protéger? (vol, fraude, manipulation)

* Qui pourrait concrétiser cette menace? (un employé, un client, un fraudeur externe)

* Comment souhaitez-vous gérer les incidents? (par la prévention, la détection, la réaction post-incident)

Des réponses claires, idéalement écrites, représentent la première étape d'une bonne gestion du risque.

Les caméras, c'est bien, mais elles ne font pas les enquêtes. C'est pourquoi la sécurité n'est pas qu'une affaire de caméras.

 

Patrick Boucher est président de Gardien Virtuel, une firme spécialisée en sécurité de l’information située à Laval et qu’il a fondée en 2003.

www.gardienvirtuel.ca   

 

Ajouter un Commentaire


Code de sécurité
Rafraîchir

Les plus populaires

Événements récents

ISC Ouest
April 10-12, 2019
Sécurité Canada Est
April 24, 2019

Nous utilisons des cookies pour vous offrir la meilleure expérience sur notre site. En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Pour en savoir plus, lisez notre politique de confidentialité.