Règle de sécurité des informations : Éléments principaux

Les menaces de sécurité font malheureusement partie du quotidien des entreprises. En 2019, une organisation a été victime d'un ransomware une fois toutes les 14 secondes. Votre entreprise a besoin d'une règle de sécurité des informations rigoureuse et complète pour répondre à ces préoccupations. Cependant, lorsque vous élaborez votre règle, vous devrez inclure les éléments de base appropriés pour lui procurer la clarté, l'autorité et la portée dont elle a besoin pour être efficace.

Nous sommes là pour vous aider. Cet article aborde les éléments essentiels d'une règle de sécurité des informations et met en évidence certaines des meilleures pratiques en matière de règles et procédures de sécurité des informations pour aider votre entreprise à atteindre ses objectifs de sécurité des données.

Qu'est-ce qu'une règle de sécurité des informations ?

Une règle de sécurité des informations, parfois appelée règle de cybersécurité ou règle de sécurité des données, est un ensemble de règles et procédures assurant la sécurité des données d'une organisation. Une entreprise conçoit généralement ses règles de sécurité de l'information pour s'assurer que ses utilisateurs et réseaux répondent aux critères minimaux en matière de sécurité des technologies de l'information (TI) et de protection des données.

Les utilisateurs de l'ensemble des réseaux et infrastructures informatiques d'une organisation doivent respecter cette règle. Si ce n'est pas le cas, les données de l'organisation pourraient être vulnérables aux attaques. De manière générale, la règle s'applique à toutes les données numériques d'une organisation et couvre les domaines de sécurité suivants :

• Données
• Locaux
• Infrastructure
• Réseaux
• Programmes
• Systèmes
• Tierces parties
• Utilisateurs

Une bonne règle de sécurité des informations permet d'atteindre de nombreux objectifs :

• Définir une approche organisationnelle globale de la sécurité d'une entreprise
• Définir les règles de contrôle d'accès des utilisateurs et les mesures de sécurité
• Détecter les ressources compromises comme les données, réseaux, ordinateurs, périphériques et applications
• Minimiser les impacts négatifs de toute ressource compromise
• Protéger la réputation d'une organisation en matière de sécurité des informations
• Se conformer aux exigences légales applicables des normes et organismes de réglementation comme la loi Family Educational Rights and Privacy Act (FERPA), la loi Health Insurance Portability and Accountability Act (HIPAA), le National Institute of Standards and Technology (NIST) aux États-Unis et le Règlement général sur la protection des données (RGPD) de l'Union européenne
• Protéger les données sensibles des clients comme les données de santé protégées (PHI), les données personnelles d'identification (PII) et les numéros de carte de crédit
• Établir des cadres permettant de répondre aux questions et plaintes concernant les menaces pour la cybersécurité comme les logiciels malveillants, les ransomwares et l'hameçonnage
• Limiter l'accès aux informations aux utilisateurs qui en ont légitimement besoin

Pour obtenir de meilleurs résultats, la règle de sécurité des informations d'une organisation doit être à la fois pratique et applicable. En même temps, elle doit aussi être suffisamment flexible pour répondre aux besoins des différents services et niveaux de votre entreprise.

L'importance d'une règle de sécurité des informations

Une règle de sécurité des informations est indispensable pour toute entreprise devant traiter les données sensibles de ses clients de manière responsable et gagner leur confiance. Cela est essentiel dans le monde des affaires pour plusieurs raisons.

Premièrement, une règle de sécurité des informations aide à protéger contre les menaces malveillantes. Les incidents de sécurité comme les fuites et violations de données érodent rapidement la confiance des consommateurs. Une règle de sécurité des informations adéquate aide à prévenir ces incidents et entretient la confiance des clients à un niveau élevé. Elle permet aussi de réduire les risques de pertes financières substantielles, 8,19 millions de dollars en moyenne, associées aux cyberattaques.

Une planification adéquate de la sécurité des informations est également essentielle pour protéger les données hautement sensibles. Toutes les informations professionnelles ne sont pas égales. Les données exceptionnellement sensibles qui pourraient causer d'énormes pertes en cas de fuite, ainsi que la propriété intellectuelle et les données personnelles d'identification, nécessitent un niveau de protection plus élevé que les autres types de données. Une règle de sécurité des informations définit pour votre entreprise un moyen de les hiérarchiser et de les sécuriser

Un autre avantage important d'une règle de sécurité des informations consiste à minimiser les risques liés aux fournisseurs. De nombreuses entreprises externalisent leurs services à des fournisseurs tiers et indépendants, élargissant ainsi le cercle des personnes ayant accès aux données critiques. Un plan de sécurité des informations peut aider une entreprise à clarifier la façon de gérer les risques liés aux fournisseurs et à garantir la sécurité maximale des informations partagées.

Les 8 composants d'une règle de sécurité des informations

Si votre organisation commence tout juste à appliquer votre règle de sécurité des informations, vous pouvez la diviser en plusieurs parties distinctes et gérables. Vous pouvez en développer une à la fois, affiner chacune d'entre elles et vous laisser la possibilité d'ajouter de nouvelles informations à votre guise. Même si ce n'est pas la première fois que vous développez une telle règle, vous devez vous assurer que les éléments fondamentaux sont en place.

Voici huit éléments essentiels d'une règle de sécurité des informations :

1. Objectif

La première composante essentielle d'une règle de sécurité des informations est un objectif défini. De manière générale, l'objectif de votre règle de sécurité des informations est de protéger les informations numériques essentielles de votre entreprise. Cependant, votre entreprise devra probablement définir les objectifs de votre règle d'une manière plus ciblée et plus concrète. L'objectif de votre règle de sécurité des informations peut être l'un des objectifs suivants ou une combinaison de ceux-ci :

• Clarifier votre approche de la sécurité des informations de votre entreprise
• Créer un modèle pour la sécurité des informations dans l'ensemble de votre organisation
• Prévenir la compromission des informations sensibles de votre organisation
• Détecter les atteintes à la sécurité des informations causées par une mauvaise utilisation des données, réseaux, systèmes informatiques ou applications, ou par une utilisation inappropriée par des tiers
• Réagir rapidement et efficacement aux violations de la sécurité des informations
• Préserver la réputation de votre marque en matière de sécurité des données
• Se conformer aux exigences légales, réglementaires et éthiques
• Respecter les droits des clients à la confidentialité de leurs données personnelles
• Renforcer votre capacité à répondre aux demandes des consommateurs concernant la protection des données, les exigences de sécurité et la conformité de votre entreprise dans ces domaines

Une organisation ne parvenant pas à définir un objectif clair et concret pour sa règle de sécurité des informations court le risque d'avoir des mesures de sécurité non ciblées et inefficaces. D'autre part, la définition d'un objectif clair pour la règle de sécurité des informations de votre entreprise vous permet d'adapter vos mesures afin d'améliorer la protection des données.

2. Public et portée

Un autre élément essentiel de votre règle de sécurité des informations est son public et sa portée. Assurez-vous que votre entreprise spécifie la portée de sa règle, c'est-à-dire les utilisateurs auxquels elle s'appliquera et ceux auxquels elle ne s'appliquera pas.

Par exemple, une entreprise peut décider de ne pas inclure de fournisseurs tiers dans sa règle de sécurité des informations. Elle peut déterminer que, même si une portée étendue peut sembler intéressante pour des raisons de sécurité, ses règles seront beaucoup plus faciles à gérer et à appliquer si elles sont limitées à sa propre organisation.

En général, il est cependant préférable de ne pas limiter la portée de votre règle de sécurité des informations, même si vous n'êtes pas légalement obligé de protéger les données que vous partagez avec des tiers. Permettre à vos fournisseurs tiers d'opérer en dehors du cadre de votre règle de sécurité des informations expose votre entreprise à un risque important de violation de la sécurité et de compromission des données.

Il convient parfois d'élargir la portée de votre règle de sécurité des informations autant que possible, car vos clients ne comprennent pas nécessairement la différence entre vos collaborateurs internes et vos fournisseurs tiers. Si une faille de sécurité survient chez l'un de vos fournisseurs, vos clients peuvent se sentir frustrés et douter de la capacité de votre entreprise à protéger leurs informations confidentielles. Votre réputation pourrait en souffrir. L'intégration de fournisseurs tiers dans le cadre général de la règle de sécurité des informations de votre entreprise vous permet en revanche de conserver une plus grande maîtrise des données clients et de préserver la confiance de ces derniers.

Un autre aspect de la portée à prendre en compte est l'infrastructure que votre règle gouvernera. Idéalement, votre règle de sécurité des informations couvrira l'ensemble des programmes, données, installations, systèmes et autres infrastructures technologiques de votre organisation. Cette large couverture permet aussi à votre règle de réduire les risques de sécurité des données de votre entreprise.

3. Objectifs de la sécurité des informations

Vous devrez tenir compte des objectifs de sécurité des informations de votre entreprise lors de l'élaboration d' une règle de sécurité des données. Le secteur informatique identifie généralement trois grands principes pour les règles de sécurité des informations, souvent connus sous le nom de « triade CIA » (Confidentiality, Integrity, Availability) :

• Confidentialité : Une règle de sécurité des informations doit permettre de préserver la confidentialité des informations sensibles, et seuls les utilisateurs autorisés doivent avoir accès aux informations protégées
• Intégrité : Une règle de sécurité des informations doit préserver les données sous une forme complète, exacte et intacte, et celles-ci doivent être opérationnelles au sein de votre infrastructure informatique
• Disponibilité : Une règle de sécurité des informations doit également garantir que les systèmes informatiques sont accessibles aux utilisateurs autorisés en cas de besoin : les données doivent être disponibles en permanence et de manière fiable

Une autre stratégie consiste à utiliser le Parkerian hexad, développé par Donn B. Parker, grand spécialiste en sécurité informatique. Cet ensemble comprend trois nouveaux principes, outre les principes traditionnels de confidentialité, d'intégrité et de disponibilité :

Possession: La possession, ou le contrôle, fait référence à l'emplacement physique du support stockant les informations sensibles d'une organisation. Supposons qu'une organisation conserve des fichiers chiffrés contenant des informations sécurisées sur des bandes. Le chiffrement fait en sorte que les bandes soient conformes à l'exigence de confidentialité. En revanche, si les bandes sont perdues ou ne sont plus détenues par l'entreprise, cette perte représente toujours un risque pour la sécurité.

Authenticité : L'authenticité fait référence à la transparence concernant l'origine des informations sensibles. Par exemple, un courriel falsifié (pour ressembler à celui d'un autre utilisateur) viole le principe d'authenticité. Les signatures numériques sont un moyen de renforcer l'authenticité.

Utilité : L'utilité indique à quel point les données sont utiles en pratique. Les informations protégées en vertu de votre règle de sécurité des informations doivent toujours être utilisables. Par exemple, des données chiffrées ne doivent pas être chiffrées au point que personne au sein de votre organisation ne puisse y accéder.

4. Règle d'autorité et de contrôle d'accès

Une règle de sécurité des informations doit également indiquer quels membres de votre organisation ont le pouvoir de limiter l'accès aux données. Ces personnes doivent être des employés dignes de confiance, suffisamment informées sur la sécurité des données pour prendre de bonnes décisions sur les informations pouvant ou non être partagées.

L'étendue du partage de données autorisé peut ne pas être entièrement décidée par votre entreprise. Par exemple, une entreprise de soins de santé devra se conformer aux exigences HIPAA limitant la divulgation des informations sur les patients.

Votre hiérarchie organisationnelle joue un rôle clé dans le contrôle d'accès. Les employés de niveau inférieur n'ont probablement pas les connaissances ou l'autorité nécessaires pour accorder l'accès à d'autres personnes. Ils doivent donc généralement éviter de partager les données auxquelles ils ont accès. Les responsables et cadres disposant d'informations plus complètes sur le fonctionnement global de l'entreprise ont généralement le droit d'accorder l'accès aux informations comme bon leur semble.

Votre règle de sécurité des informations doit contenir une règle de contrôle d'accès précisant qui, dans votre entreprise, peut autoriser le partage d'informations. Cette section a pour but de définir le niveau d'autorité que chaque poste de votre entreprise exerce sur les systèmes informatiques et relatifs aux informations. Elle doit également clarifier la façon de gérer les données sensibles, les contrôles d'accès dont dispose l'entreprise, qui a autorité sur ces contrôles et les normes minimales de sécurité que l'entreprise doit respecter.

Votre entreprise doit également disposer de contrôles suffisants pour autoriser et refuser l'accès. Les contrôles d'accès courants comprennent des mesures comme :

• Mot de passe fort
• Mises à jour fréquentes des mots de passe
• Cartes d'identité
• Jetons d'accès
• Mesures biométriques, comme les dispositifs d'accès par empreintes digitales

Réfléchissez à la mise en place de systèmes de surveillance capturant les tentatives de connexion, notamment l'identité de l'utilisateur tentant d'obtenir l'accès, l'heure et la date de la tentative de connexion et si la tentative a réussi ou échoué. Vous devez aussi disposer d'un système permettant de détecter les tentatives de connexion à distance et d'une stratégie permettant de retirer rapidement l'accès des employés licenciés.

5. Classement des données

Le classement des données est un élément essentiel de votre règle de sécurité des informations. Vous devrez classer vos données par niveau de sécurité, par exemple en les attribuant à des catégories comme « public », « confidentiel », « secret » et « top secret ». Vous pouvez aussi hiérarchiser vos données comme suit :

• Niveau 1 : Informations mises à la disposition du public
• Niveau 2 : Informations censées demeurer confidentielles, mais qui ne causeraient pas de grave préjudice si elles devenaient publiques
• Niveau 3 : Informations qui pourraient potentiellement causer un préjudice à votre entreprise ou à vos clients si elles devenaient publiques
• Niveau 4 : Informations qui pourraient potentiellement causer un grave préjudice à votre entreprise ou à vos clients si elles devenaient publiques
• Niveau 5 : Informations qui pourraient sans aucun doute causer un grave préjudice à votre entreprise ou à vos clients si elles devenaient publiques

UDans le cadre de ces systèmes, chaque niveau de données non publiques nécessite une certaine forme de protection, les niveaux supérieurs nécessitant une sécurité plus stricte.

Vous devrez probablement aussi distinguer dans votre classement de données les informations protégées par la loi et celles qui ne le sont pas. Bien entendu, les informations publiques ne bénéficient d'aucune protection juridique. Vous pouvez également désigner comme confidentielles certaines données non protégées par la loi, mais que votre entreprise estime devoir être protégées. En outre, vous pouvez désigner certaines informations comme étant des données à haut risque si elles nécessitent une protection en vertu de la loi.

Voici quelques exemples de données à haut risque et légalement protégées :

• Informations médicales protégées par l'HIPAA
• Informations relatives à l'éducation protégées par la FERPA
• Informations financières
• Informations sur les salaires

Au fur et à mesure que votre entreprise établit ses classements de données, elle doit également définir les mesures nécessaires à la protection des données au niveau requis.

6. Support des données et opérations

Le support des données et les opérations incluent les mesures que votre entreprise mettra en œuvre pour traiter chaque niveau de données confidentielles. Voici les trois principales catégories d'opérations de support des données :

Règlements sur la protection des données : Votre entreprise doit mettre en place des normes organisationnelles pour protéger les données personnelles identifiables et d'autres données sensibles. Ces normes doivent s'aligner sur toutes les normes de conformité du secteur et sur les réglementations locales ou nationales applicables. La plupart des normes et réglementations de sécurité exigent au moins un pare-feu, un chiffrement des données et une protection contre les programmes malveillants.

Configuration requise pour la sauvegarde des données : Votre organisation devra également générer des sauvegardes de données sécurisées. Chiffrez vos sauvegardes et assurez-vous de stocker le support de sauvegarde en toute sécurité. Le stockage de vos données de sauvegarde en toute sécurité sur le cloud est une option hautement sécurisée.

Déplacement de données : Votre entreprise doit garantir la sécurité des données chaque fois qu'elle les déplace. Assurez-vous de transférer vos données via des protocoles sécurisés et de chiffrer toutes les informations que vous copiez sur des appareils portables ou que vous transmettez via des réseaux non sécurisés.

7. Sensibilisation et comportement en matière de sécurité

Votre organisation devra mettre en œuvre des stratégies pour renforcer sa sensibilisation à la sécurité et prévenir les violations. Il peut être nécessaire d'encourager des comportements spécifiques des employés pour renforcer cette prise de conscience et contrecarrer les attaques et pertes.

L'une des meilleures façons d'atteindre cet objectif est de bien former votre personnel sur vos règles de sécurité des informations. Assurez-vous qu'il ait connaissance de votre système de classement des données sensibles, vos règles de protection des données et vos mesures de protection des accès.

Voici quelques éléments à inclure dans votre formation à la sécurité pour renforcer la sensibilisation à la sécurité et promouvoir un comportement responsable :

Ingénierie sociale : Informez vos collaborateurs des risques associés aux attaques d'ingénierie sociale comme les e-mails d'hameçonnage. Offrez à vos collaborateurs une formation suffisante pour détecter, contrecarrer et prévenir de telles attaques et faites en sorte qu'ils soient en mesure de le faire de manière cohérente.

Une règle de nettoyage du bureau : L'un des moyens les plus simples d'éviter les pertes de données est de conserver les données sensibles hors de vue et de portée. Réfléchissez à mettre en œuvre une règle de « bureau propre » à l'échelle de l'entreprise pour atteindre cet objectif. Demandez aux membres de votre personnel de conserver les éléments non sécurisés hors de leur bureau et de leur zone de travail. Les stratégies comprennent le classement ou déchiquetage des vieux papiers, le retrait rapide des documents des zones d'impression et la fixation des ordinateurs portables aux zones de travail à l'aide d'antivols.

Règle d'utilisation d'Internet : Réfléchissez aussi à mettre en œuvre des règles strictes d'utilisation d'Internet. En fonction de la sensibilité de vos données et des exigences de votre lieu de travail, vous pouvez bloquer les sites Web de partage d'informations comme YouTube, Facebook et d'autres sites de réseaux sociaux. Vous pouvez utiliser un proxy pour bloquer l'accès non autorisé aux sites Web et protéger vos données.

8. Responsabilités, droits et devoirs du personnel

La dernière composante de votre règle de sécurité des informations doit décrire les droits, responsabilités et devoirs des membres de votre personnel en matière de protection des données. Responsabilisez vos employés en désignant certaines personnes chargées d'effectuer des révisions d'accès, de former d'autres collaborateurs, de superviser les protocoles de gestion des modifications, de gérer les incidents et de fournir une supervision générale et un soutien à la mise en œuvre de votre règle de sécurité des informations.

Assurez-vous de définir clairement les responsabilités et devoirs du personnel et informez vos collaborateurs des droits et autorisations dont ils disposent. Cela aidera votre organisation à éviter les erreurs de gestion des données qui pourraient entraîner des risques de sécurité.

Meilleures pratiques pour la rédaction de règles de sécurité des informations

Voici quelques bonnes pratiques à suivre lors de l'élaboration des règles de sécurité des informations de votre organisation :

Faites de votre règle un document vivant : Votre règle de sécurité des informations doit être suffisamment flexible pour s'adapter aux progrès technologiques et autres changements au sein de votre organisation. Mettez-la à jour si nécessaire pour faire face aux nouvelles menaces et aux nouveaux défis.

Coordination entre les services : Assurez-vous que tous les services de votre entreprise sont en phase concernant la sécurité des informations. Votre personnel administratif, par exemple, doit communiquer régulièrement avec votre service informatique pour coordonner l'évaluation des risques et assurer la conformité réglementaire.

Élaborer un plan de réponse aux incidents de sécurité : Votre règle de sécurité des informations contient une mine d'informations conçues pour prévenir les incidents de sécurité. Vous devriez également élaborer et mettre en œuvre un plan de réponse aux incidents de sécurité robuste, afin de pouvoir gérer les violations de manière responsable si elles se produisent.

Élaborer des règles d'utilisation acceptable : Les règles d'utilisation acceptable définissent la manière dont votre organisation doit utiliser ses ressources. Elles aident à prévenir les violations de données résultant d'une mauvaise utilisation des ressources de l'entreprise, par exemple si les employés emportent des ordinateurs portables à leur domicile sans autorisation ou aident des personnes non autorisées à accéder au réseau.

Conformez-vous aux réglementations en matière de confidentialité : Les réglementations comme le RGPD et les lois fédérales comme l'HIPAA et la FERPA aux États-Unis protègent la confidentialité des utilisateurs finaux d'une organisation. Assurez-vous d'effectuer des recherches sur les lois s'appliquant à votre entreprise et de vous y conformer

En savoir plus sur la sécurité et la conformité avec Box

Content Cloud vous permet de partager des informations, de collaborer et d'alimenter des flux de travail critiques dans l'ensemble de votre entreprise, tout en garantissant des niveaux de sécurité rigoureux. Nos solutions de sécurité et de gestion de la conformité au niveau de l'entreprise vous aident à prévenir les violations de données en utilisant une détection intelligente des menaces ainsi que des contrôles de sécurité basés sur le classement. Vous serez en mesure de protéger les informations et de garantir à vos clients que leurs données sensibles sont sécurisées. En savoir plus quant à notre position sur les certifications de sécurité et de conformité sur Box Trust.

Notre produit de sécurité avancé, Box Shield, fournit un classement natif entre les types de fichiers et de multiples contrôles DLP et DRM intégrés et en ligne, optimisés pour une expérience utilisateur fluide. Les administrateurs peuvent créer des règles pour appliquer des contrôles de sécurité basés sur le classement pour la collaboration externe, les liens partagés, les téléchargements sur le Web/les appareils mobiles et les ordinateurs de bureau, et des restrictions pour les applications tierces, l'impression et le FTP.

Les règles de détection des menaces utilisent une détection native basée sur l'apprentissage machine et des alertes sur les menaces internes, notamment un comportement anormal des utilisateurs. La protection intégrée contre les programmes malveillants avertit l'utilisateur et empêche leur propagation en limitant le téléchargement et l'édition locale, tout en permettant la prévisualisation et l'édition en ligne avec Microsoft 365 et Apple iWork.

Essayez Box dès aujourd'hui ou contactez-nous pour en savoir plus sur l'utilisation de Box afin d'améliorer votre règle de sécurité des informations.

**Tandis que nous maintenons notre engagement inébranlable de proposer des produits et des services avec la meilleure protection de la vie privée, de la sécurité et de la conformité, les informations fournies dans cet article de blog ne constituent en aucun cas un conseil juridique. Nous encourageons vivement nos clients actuels et potentiels à faire preuve de diligence raisonnable lorsqu'ils évaluent la conformité aux lois applicables.