ADGA - Insight - Sécurité de l'information : Faire le lien entre le cyberespace et le monde physique

15 juin 2020

Sécurité de l'information : Faire le lien entre le cyberespace et le monde physique

Avec l'impact de COVID-19 sur les entreprises, les organisations et les gouvernements du monde entier, la décentralisation du lieu de travail ajoute de nouveaux risques à la sécurité des informations.

Par

Frédéric Maurette

Chef de projet senior

Imaginez ce scénario, si vous voulez.

Un employé travaille à distance sur des informations commerciales et financières importantes pour l'entreprise. Quelques heures plus tard, l'employé prend une pause pour aller à l'épicerie. L'ordinateur portable et les fichiers sont laissés sur la table de la salle à manger. Vingt minutes plus tard, un intrus se glisse par la porte arrière non verrouillée. Le système d'alarme n'avait pas été enclenché. L'intrus remarque les documents et le matériel et part avec. L'employé signale rapidement le vol à son patron et à la police, mais le mal est fait. Un jour plus tard, le département informatique de la sécurité de l'entreprise remarque que le mot de passe faible a été violé et que des informations sensibles de l'entreprise ont été compromises.

Que s'est-il passé? Malheureusement, ce scénario n'est pas loin de la réalité. Les deux éléments clés de la sécurité de l'information, la cybersécurité et la sécurité physique, convergent dans une situation qui était entièrement évitable.

La COVID-19 ayant eu un impact sur les entreprises, les organisations et les gouvernements du monde entier, ceux-ci ont soit mis en œuvre des plans de continuité des activités bien conçus, soit réagi du mieux qu'ils pouvaient pour limiter les pertes de revenus et de main-d'œuvre disponible. Le lieu de travail est de plus en plus décentralisé, les travailleurs s'acquittant de leurs tâches en étant physiquement éloignés les uns des autres. Le travail à domicile accroît la dépendance à l'égard des plates-formes en ligne pour tout ce qui concerne la stratégie, la planification financière et le travail de projet. Les moyens électroniques permettant de communiquer efficacement par courrier électronique, voix et vidéo dépendent de la confidentialité, de l'intégrité et de la disponibilité des systèmes choisis. La cybersécurité est dans tous les esprits comme un facteur essentiel de la résilience des entreprises et de l'économie, mais elle ne constitue qu'un élément de la sécurité de l'information.

La cybersécurité est la pratique consistant à défendre les ordinateurs, les serveurs, les dispositifs mobiles, les systèmes électroniques, les réseaux et les données contre les attaques malveillantes. Parmi les principales catégories figurent la protection des applications et des réseaux ainsi que le stockage électronique des données et la sécurité opérationnelle, qui consiste en des processus et des décisions visant à protéger les données en tant qu'actif. La sécurité opérationnelle consiste également à s'assurer que les informations relatives aux mouvements, aux horaires et aux emplacements du personnel sont protégées et que les conversations par voie numérique ou lors de réunions ne sont pas interceptées.

Rien qu'au Canada, la perte de propriété intellectuelle et de secrets commerciaux s'élève à des dizaines de milliards de dollars par an, alors qu'aux États-Unis, ce chiffre atteint des centaines de milliards de dollars. Pour se protéger contre de telles pertes, il faut un programme de sécurité complet qui évite les maillons faibles en misant sur la convergence des activités de sécurité physique, électronique et cybernétique de façon holistique. Par exemple, un programme de cybersécurité sophistiqué ne peut pas protéger des informations qui pourraient être volées par des utilisateurs autorisés ou par l'utilisation de caméras cachées, de microphones sans fil, de traceurs GPS, de sources de radiofréquences, d'écoutes téléphoniques ou de mouchards.

Les efforts d'une organisation pour protéger ses informations critiques reposent sur les défenses stratifiées de l'ensemble de son programme de sécurité. La sécurité physique protège les approches et l'infrastructure des informations et des ressources informatiques, et est étayée par des évaluations complètes des menaces et des risques, des études de site, ainsi que par une ingénierie et une conception de la sécurité soutenues par des politiques et des procédures de contrôle d'accès, de vérification du personnel et de réponse aux incidents de sécurité.

Enfin, l'une des clés pour réussir à protéger les informations d'une organisation est d'inculquer une culture et un état d'esprit de sécurité à la maison et au travail. La formation à la sensibilisation à la sécurité fait partie d'un programme de sécurité holistique dans lequel tout le monde doit être impliqué, du PDG au travailleur le plus récemment engagé.

En gardant cela à l'esprit, l'employé dans le scénario précédent aurait physiquement verrouillé et sécurisé les documents et l'ordinateur portable, aurait utilisé un mot de passe fort, aurait verrouillé la porte arrière et enclenché le système d'alarme avant de partir.

Alors que le monde des affaires évolue vers davantage de télétravail et que les organisations réexaminent leurs flux de travail et leurs processus, le moment est venu de revoir également les pratiques de sécurité pour s'assurer que les activités de sécurité physique, électronique et cybernétique sont alignées dans un programme de sécurité véritablement convergent.