Définition de la sécurité informatique
La sécurité informatique est un terme générique utilisé pour décrire l'ensemble des stratégies, méthodes, solutions et outils utilisés pour protéger la confidentialité, l'intégrité et la disponibilité des données et des ressources numériques d'une entreprise.
Une stratégie complète de sécurité informatique s'appuie sur une combinaison de technologies avancées et de ressources humaines pour prévenir, détecter et neutraliser une multitude de cybermenaces et de cyberattaques. Elle couvre la protection de l'ensemble des systèmes matériels, des applications logicielles et des endpoints, ainsi que du réseau et de ses différents composants, comme les datacenters physiques ou basés dans le cloud.
La sécurité informatique, pour quoi faire ?
La dernière décennie a été marquée par la migration de pratiquement tous les aspects des activités d'une entreprise vers un environnement en ligne. Dès lors, chaque entreprise se retrouve exposée à un risque de cyberattaque, dont le but peut être de voler des informations sensibles, telles que des données clients et des détails de paiement, des éléments de propriété intellectuelle et des secrets commerciaux, ou tout simplement de porter atteinte à la réputation de l'entreprise.
Par ailleurs, la généralisation du télétravail, la migration vers le cloud et la prolifération des appareils connectés offrent aux pirates informatiques et autres cybercriminels des possibilités quasi infinies d'attaques. Cette surface d'attaque élargie, combinée à la sophistication croissante des cyberadversaires numériques, a imposé aux entreprises de renforcer et d'actualiser leurs pratiques de sécurité afin de protéger leurs ressources basées dans le cloud en particulier.
Dans une certaine mesure, la sécurité informatique est une question de droit. En effet, dans certains pays, la loi impose aux entreprises d'investir dans le développement et l'implémentation de concepts de sécurité informatique, tandis que d'autres pays ont fixé des normes strictes en matière de confidentialité et de protection des données.
Types de sécurité informatique
La sécurité informatique est un terme générique qui désigne tout plan, mesure ou outil destiné à protéger les ressources numériques d'une entreprise. La sécurité informatique comprend plusieurs éléments :
La cybersécurité a pour but d'assurer la protection des ressources numériques (réseaux, systèmes, ordinateurs, données, etc.) contre les cyberattaques.
La sécurité des endpoints, ou protection des endpoints, est l'approche qui vise à protéger les endpoints (ordinateurs de bureau, ordinateurs portables, terminaux mobiles, etc.) contre les activités malveillantes.
La sécurité du cloud regroupe la stratégie et les solutions de protection contre les cybermenaces de l'infrastructure cloud, ainsi que de tout service ou application hébergé dans l'environnement cloud.
La sécurité des applications couvre toutes les mesures mises en place pour réduire la vulnérabilité des applications et ainsi empêcher tout vol, fuite ou compromission de données ou de code au sein de l'application.
La sécurité du réseau désigne les outils, les technologies et les processus utilisés pour protéger le réseau et l'infrastructure critique contre les cyberattaques et les activités malveillantes. Elle inclut un ensemble de mesures préventives et défensives conçues pour refuser tout accès non autorisé aux ressources et aux données.
La sécurité des conteneurs est le processus continu de protection des conteneurs, y compris du pipeline des conteneurs, de l'infrastructure de déploiement et de la supply chain, contre les cybermenaces.
La sécurité de l'IoT est une subdivision de la cybersécurité qui couvre la protection, la surveillance et la neutralisation des menaces ciblant l'Internet des objets (IoT) et le réseau de terminaux IoT connectés qui collectent, stockent et partagent des données via Internet.
Sécurité informatique et sécurité des informations, quelle différence ?
Bien que la sécurité informatique soit parfois confondue avec la sécurité des informations, il s'agit de deux concepts bien distincts. La principale différence réside dans la forme dans laquelle les données sont stockées et, par extension, dans la manière dont elles sont protégées.
La sécurité des informations consiste à protéger les données, quelle que soit leur forme. Il peut s'agir de protéger les données stockées par voie électronique, ainsi que de mesures de sécurité physiques telles que le verrouillage des armoires de classeurs ou des clés d'accès aux bureaux.
La sécurité informatique concerne quant à elle la protection des données et autres ressources exclusivement sous forme numérique.
Sécurité informatique et cybersécurité, quelle différence ?
Il importe également de faire la distinction entre sécurité informatique et cybersécurité.
La cybersécurité fait référence à la protection de l'entreprise contre tout accès non autorisé et toute attaque malveillante.
Par comparaison, la sécurité informatique revêt un caractère plus large. Elle couvre notamment toute fonctionnalité permettant de protéger et de préserver la confidentialité, l'intégrité et la disponibilité des données contre toute menace numérique. Cela peut notamment inclure la protection contre les problèmes de sécurité non malveillants en soi, comme un composant matériel défaillant ou une configuration incorrecte du système.
Risques associés à la sécurité informatique
Les risques associés à la sécurité informatique peuvent être divisés en deux catégories : les perturbations du système et les attaques malveillantes ciblées.
Une perturbation du système peut consister en une interruption temporaire des activités de l'entreprise induite par un composant système tel qu'un composant matériel défectueux, une panne réseau ou une faille logicielle. Face à une telle situation, l'entreprise s'expose à des pertes de revenus résultant de son incapacité à fonctionner ou de l'atteinte possible à sa réputation.
Si la préservation du fonctionnement du système constitue une composante majeure de la sécurité informatique, la protection contre les cyberattaques est plus importante encore dans la mesure où la plupart de ces attaques visent à accéder à des données ou autres informations sensibles ou à les dérober. Voici quelques cyberattaques courantes :
Menaces persistantes avancées (APT)
Une menace persistante avancée (APT) est une cyberattaque sophistiquée de longue durée, au cours de laquelle un intrus établit une présence non détectée sur un réseau pour voler des données sensibles sur une période prolongée. Il s'agit d'une forme d'attaque conçue et planifiée avec soin dans le but d'infiltrer une entreprise déterminée, de contourner les dispositifs de sécurité existants et d'échapper à toute détection.
Logiciels malveillants
Un logiciel malveillant, ou malware, est un programme ou un code créé dans le but de causer des dommages à un ordinateur, un réseau ou un serveur. Les types de logiciels malveillants les plus courants sont les virus, les ransomwares, les enregistreurs de frappe, les chevaux de Troie, les vers et les spywares.
Phishing
Le phishing est un type de cyberattaque qui utilise des e-mails, des SMS, le téléphone ou les réseaux sociaux pour inciter une victime à partager des informations personnelles, comme des mots de passe ou des numéros de compte, ou à télécharger un fichier malveillant qui installera un virus sur son ordinateur ou son téléphone.
Attaques DoS ou DDoS
Une attaque par déni de service (DoS) est une attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités de l'entreprise. Lors d'une attaque DoS, les utilisateurs sont incapables d'effectuer des tâches courantes et nécessaires, comme accéder à la messagerie électronique, à des sites web, à des comptes en ligne ou à d'autres ressources gérées par un ordinateur ou un réseau compromis.
Une attaque par déni de service distribué (DDoS) consiste à inonder la ressource ciblée de demandes afin de rendre un service ou un système (serveur, ressource réseau ou transaction spécifique, par exemple) inaccessible.
Réseaux de robots ou botnets
Un réseau de robots est un ensemble d'ordinateurs compromis supervisés via un canal de commande et contrôle. La personne qui exploite l'infrastructure de commande et contrôle, à savoir le maître des robots ou botmaster, utilise ces ordinateurs compromis, ou robots, pour lancer des attaques destinées à faire tomber le réseau d'une cible, à injecter des logiciels malveillants, à collecter des identifiants ou à exécuter des tâches gourmandes en puissance de calcul.
Menaces internes
Une menace interne est une attaque de cybersécurité émanant de l'intérieur de l'entreprise, généralement d'un collaborateur actuel ou ancien.
Bonnes pratiques en matière de sécurité informatique
La prévalence du terme « sécurité informatique » ne signifie nullement que la sécurité est un « problème informatique ». Ce n'est pas non plus un problème qui sera résolu uniquement à l'aide de solutions technologiques. Pour élaborer une stratégie de cybersécurité à la fois complète et efficace, les entreprises doivent tenir compte des règles, des processus et des technologies mis en œuvre dans l'ensemble des fonctions métier. Par ailleurs, les utilisateurs du réseau doivent être correctement formés aux comportements responsables en ligne, ainsi qu'à la détection des signes d'attaques réseau courantes.
Dans le monde connecté actuel, une stratégie de cybersécurité globale est absolument essentielle. Les stratégies de cybersécurité les plus efficaces combinent ressources humaines et solutions technologiques avancées, telles que l'intelligence artificielle (IA), le Machine Learning (ML) et d'autres formes d'automatisation intelligente, afin d'améliorer la détection des activités anormales et de réduire le délai d'intervention et de correction.
Une stratégie de sécurité IT doit intégrer les éléments suivants :
La détection et l'intervention sur les endpoints (EDR) forment une solution complète qui identifie et contextualise toute activité malveillante afin d'aider l'équipe de sécurité à prioriser les efforts de réponse et de correction en cas de compromission de sécurité.
La détection et l'intervention managées (MDR) sont un service de cybersécurité qui allie technologie et expertise humaine pour mettre en place des opérations de Threat Hunting, de surveillance et d'intervention. La MDR a pour principal avantage de favoriser une identification rapide des cybermenaces et d'en limiter les répercussions sans avoir à augmenter les effectifs.
La réponse à incident consiste en une série d'étapes mises en place pour prévenir, détecter et bloquer les compromissions de données, ainsi que pour restaurer les systèmes. Elle aboutit généralement à l'établissement d'un plan de réponse à incident qui décrit les étapes et procédures que l'organisation devra suivre en cas d'incident de sécurité.
Un antivirus de nouvelle génération (NGAV, Next-Generation Antivirus) combine intelligence artificielle, détection des comportements, algorithmes de Machine Learning et atténuation des exploits, afin d'anticiper et de prévenir immédiatement toutes les menaces de sécurité, connues comme inconnues.
Un test d'intrusion consiste en une simulation d'attaque réelle visant à tester les capacités de détection et de réponse de l'entreprise.