La cybersécurité sécurisons nos entreprises
La Cybersécurité
Origine :
La cybernétique est une science du contrôle des systèmes, vivants ou non-vivants. Ce nouveau domaine de la science a été introduit en 1948 par Norbert Wiener, chercheur mathématicien américain, dans son livre intitulé ‘Cybernetics, Control and Communication in the Animal and the Machine’. Il y étudie donc la maîtrise des machines. Notons que le préfixe ‘cyber’ vient du grec ‘kubernao’ qui signifie piloter, gouverner. Et de cette - bonne - gouvernance nous aurons pleinement besoin pour faire face aux défis ‘cyber…x’ qui nous attendent.
Définition :
On parle dorénavant de cyberespace, de cybercafé, mais la cybersécurité, supposée combattre le cybercrime ou les cyberattaques, occupe aujourd’hui une place de plus en plus importante, tant au niveau des entreprises qu’au niveau des Etats. La cybersécurité rassemble donc à présent les lois, les politiques, les outils, les dispositifs, les concepts et les mécanismes de sécurité appliqués à ce cyberespace que constitue le monde numérique et utilisés pour la protection des personnes et du matériel informatique des Etats et des organisations.
Aujourd’hui la définition exacte de la cybersécurité nous est donnée par l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) :
Cybersécurité : État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.
Situation :
Nous sommes projetés dans ce cyberespace au travers de toutes les données personnelles que nous renseignons, à l’occasion par exemple de l’ouverture d’une boite mail, pour une inscription sur un forum, à une enseigne commerciale sur internet, à notre banque, à tous les services administratifs… Ces informations sont également présentes dans nombre de cartes à puces, bancaires, Vitale ou autres. Elles représentent un ensemble de données susceptibles de nous identifier directement ou indirectement. Tous ces échanges de données se font au travers d’outils informatiques. Le nombre de points d’entrée pour un acteur mal intentionné est considérable. Nombre de ces données peuvent certes s’avérer nécessaires au fonctionnement du service proposé, mais elles sont surtout devenues une véritable stratégie d’entreprises pour beaucoup d’entre elles. La protection de ces informations numériques représente pour elles un véritable enjeu économique. Dans ces conditions, la nécessité d’une sécurité de ces données s’impose, comme le besoin de confidentialité, d’intégrité et de disponibilité de l’information. Imaginons une interception de données sensibles entre deux partenaires économiques par un tiers : c’est la porte ouverte à un piratage industriel. Si l’intégrité des données n’est pas respectée, c’est-à-dire si un tiers peut venir modifier, falsifier des informations, c’est tout un processus de fabrication qui peut être anéanti. La disponibilité de l’information est vitale pour la plupart des entreprises ; pensons aux systèmes bancaires, d’assurances, de fournisseurs d’informations via Internet privés d’accès : c’est toute l’organisation qui s’arrête.
Les solutions :
Cette sécurité de l’information doit s’organiser autour de trois axes principaux : une technologie idoine, des process fiables et une sensibilisation des utilisateurs au regard de l’utilisation de ces données.
La cybersécurité doit donc assurer à la fois la sécurisation des matériels et logiciels informatiques, le stockage des données et le traitement de l’information par les utilisateurs.
Il s’avère que la création de systèmes informatiques entièrement sécurisés reste un vœu pieu, presque irréalisable. Preuve en est le nombre de correctifs de sécurité informatiques continuellement mis en place sur les systèmes.
Le maillon Faible :
Mais imaginons qu’un tel système ultra sécurisé puisse exister ; il restera toujours l’élément le plus faible de la chaîne, à savoir l’utilisateur lui-même de ces informations. C’est un élément non négligeable à prendre en compte dans tout ce système. C’est par une très forte sensibilisation des utilisateurs aux risques, par la formation, que la sécurisation des systèmes informatiques sera également assurée. Les entreprises doivent mettre en place tout un système de procédures pour faire face aux dérives potentielles, système d’autorisations d’accès au système informatique, aux applications, règles d’archivage, de créations ou de modifications de données.
Nous sommes au début du chemin
Nous en arrivons à ce paradoxe que les entreprises doivent garder le contrôle de l’information alors qu’en même temps il y a nécessité de la partager. Qu’en serait-il d’une donnée hyper protégée au point de ne plus pouvoir être exploitée ?
L’équilibre entre cette protection de données et la liberté de création doit être recherchée dans toute politique de cybersécurité, à la fois efficace mais ne nuisant pas aux idées innovantes.
C’est ce qui sera mis en œuvre par des systèmes sécurisés partagés entre tiers, via la mise en place par exemple à des réseaux privés virtuels, plus délicats à forcer.