Lors de la sécurisation des systèmes et des logiciels, on vise à protéger contre (1) l’accès non autorisé ou illégal & le traitement de (2) perte, destruction ou dommage accidentels. Dans le même temps, nous tenons à souligner que la sécurité, pour être efficace, nécessite une approche globale et ne peut être efficace sans accorder au facteur humain l’attention qu’il mérite.
Accès et Traitement non autorisé ou illégal
Pour la première catégorie, il faut tout d’abord s’assurer que l’accès physique au système et au logiciel est contrôlé et limité aux seules parties qui en ont strictement besoin. Les exemples vont du contrôle de l’accès au bureau avec un système de badges, seul le chef de service ayant les clés des placards de classement, à autoriser uniquement un groupe du personnel spécifique l’accès à la salle des serveurs. Considérez le contrôle d’accès comme la première ligne de défense pour vous protéger contre les accès et traitements non autorisés ou illégaux.
La deuxième ligne de défense consiste à limiter et contrôler l’accès une fois que l’accès physique au système ou au logiciel a été obtenu. En d’autres termes, limiter & contrôler l’accès au système informatique ou au logiciel en utilisant l’authentification de l’utilisateur (par exemple: noms d’utilisateur et mots de passe, authentification à deux facteurs) et en restreignant les privilèges de l’utilisateur (par exemple, l’utilisateur ne peut consulter qu’un dossier, ne pas apporter de modifications ou imprimer à partir du dossier).
Ces deux lignes de défense sont tout aussi importantes et des amendes ont déjà été prononcées en raison d’un contrôle d’accès insuffisant, même sans aucune violation de données!
Perte, destruction ou dommage accidentels
Les données personnelles sont un bien précieux et doivent être traitées avec le plus grand soin et conservées avec soin. Cela signifie qu’il faut également le protéger contre la perte, la destruction ou les dommages accidentels. Ces événements peuvent survenir à la suite d’un dysfonctionnement du système, du logiciel ou du fonctionnement (par exemple: la perte d’un ordinateur portable, la chute d’un téléphone, un crash du disque dur, etc.) ainsi que par une faille de sécurité par un acteur malveillant (par exemple: une attaque de rançongiciel).
On peut protéger les systèmes et les logiciels contre la perte, la destruction ou les dommages en s’assurant que l’on dispose de sauvegardes d’informations et que tous les systèmes perdus disposent d’un contrôle d’accès adéquat tandis que les données personnelles sont cryptées pour éviter tout accès non autorisé par ceux qui trouvent l’élément.
La protection contre les acteurs malveillants, c’est-à-dire les pirates, est un sujet complexe. S’assurer que vous appliquez des mots de passe forts, que vous disposez d’un logiciel antivirus et que tout accès à distance passe par un VPN est un bon début, mais vous devrez aller au-delà de l’évidence pour réduire le risque avec un degré élevé de confiance. Pour réussir, une approche complète et globale de la sécurité dans toutes ses catégories est nécessaire; votre défense n’est aussi forte que son maillon le plus faible.
Approche globale & le facteur humain
Votre meilleur pari pour exécuter des opérations sécurisées est d’avoir une approche globale et complète de la sécurité des systèmes et des logiciels. En d’autres termes, vous ne pouvez pas simplement assurer un peu de sécurité, vous devrez y consacrer suffisamment de ressources pour couvrir tous les aspects et bien les couvrir. Cela inclut la formation du personnel car l’humain est souvent le maillon le plus faible. À l’heure actuelle où la plupart des systèmes sont connectés à Internet, il est essentiel que tout le personnel soit régulièrement sensibilisé à la sécurité et à des formations sur la confidentialité des données. Il est recommandé de mettre en œuvre un code de conduite qui inclut la sécurité & confidentialité ainsi que d’autres pratiques commerciales éthiques.
Les mesures de sécurité appropriées sur les systèmes & les logiciels doivent être associés à des mesures spécifiques pour sécuriser les données contenues dans ces derniers. Nous avons résumé ceux-ci dans Sécurité des données – Ce qu’il faut considérer.
