Sécurité Québec

En vedette Chroniques et opinions Sécurité de l’information
La sécurité n’est pas qu’une affaire de caméras!



Depuis plus de 10 ans, nous vérifions régulièrement les configurations et paramètres des systèmes d’information de nos clients afin de prévenir les incidents de sécurité ou, de façon plus regrettable, enquêter sur ceux survenus.

 

Durant ces années, nous avons constaté que pour trop d’entreprises, la sécurité se résume malheureusement à un cadenas ainsi que, dans certains cas, à une caméra de surveillance. 

Advertisment

Cette situation n’est pas du tout à l’avantage de ces entreprises. Celles-ci, avant de mettre en place de nouvelles mesures de sécurité, devraient revoir leur méthode de gestion du risque. 

Revenons à l’essentiel pour bien comprendre le contexte et quelques définitions. 

La sécurité des systèmes d’information est divisée en trois principaux éléments que l’on cherche à protéger : la confidentialité, l’intégrité et la disponibilité des renseignements. 

On dit qu’une action est un « incident » lorsqu’elle a un impact négatif sur la sécurité d’un actif. Les actifs d’une entreprise peuvent être de nature numérique (un logiciel, des bases de données, des fichiers, etc.) ou physique (de l’argent, un système, des documents papier, etc.).

Il convient d’appliquer des mesures de protection appropriées à ces actifs afin de prévenir les incidents. Dans ce contexte, trois types de mesures peuvent être mis en place :

1) des mesures préventives (avant un incident) : de sensibilisation, de mots de passe, de verrouillage automatique de porte, etc.;

2) des mesures de détection (pendant un incident) : de logiciel antivirus, de surveillance des journaux d’évènements, etc.;

3) des mesures correctives (après un incident) : d’utilisation de copies de sauvegarde, de plans de recouvrement, etc.  

Ces différentes mesures de protection peuvent également être de type physique (porte), procédural (gestion des changements) ou technique (coupe-feu, antivirus). 

Vous pouvez maintenant comprendre qu’il existe des centaines de mesures différentes en fonction de ce que l’on souhaite vraiment accomplir. Cela dit, avant de se demander quelle mesure est la plus appropriée dans un contexte donné, les responsables de la gestion du risque doivent d’abord être en mesure de répondre clairement aux questions suivantes :

* Que voulez-vous protéger? (de l’information, un système, la caisse, une transaction)

* Quel type de menace pèse-t-il sur ce que vous souhaitez protéger? (vol, fraude, manipulation)

* Qui pourrait concrétiser cette menace? (un employé, un client, un fraudeur externe)

* Comment souhaitez-vous gérer les incidents? (par la prévention, la détection, la réaction post-incident)

Des réponses claires, idéalement écrites, représentent la première étape d’une bonne gestion du risque.

Les caméras, c’est bien, mais elles ne font pas les enquêtes. C’est pourquoi la sécurité n’est pas qu’une affaire de caméras.

 

Patrick Boucher est président de Gardien Virtuel, une firme spécialisée en sécurité de l’information située à Laval et qu’il a fondée en 2003.

www.gardienvirtuel.ca