Garantie des informations
L’assurance de l’information ( AI ) est la pratique consistant à garantir l’information et à gérer les risques liés à l’utilisation, au traitement, au stockage et à la transmission de l’information. L’assurance de l’information comprend la protection de l’ intégrité , de la disponibilité, de l’authenticité, de la non-répudiation et de la confidentialité des données des utilisateurs. [1] L’IA englobe non seulement les protections numériques, mais également les techniques physiques. Ces protections s’appliquent aux données en transit , sous forme physique et électronique, ainsi qu’aux données au repos . L’IA est mieux considérée comme un sur-ensemble de la sécurité de l’information (c’est-à-dire un terme générique) et comme le résultat commercial degestion du risque informationnel .
Aperçu
Le McCumber Cube : l’un des schémas communs d’assurance de l’information
L’assurance de l’information (IA) est le processus de traitement, de stockage et de transmission des bonnes informations aux bonnes personnes au bon moment. [1] IA se rapporte au niveau de l’entreprise et à la gestion des risques stratégiques de l’information et des systèmes connexes, plutôt qu’à la création et à l’application de contrôles de sécurité. L’intelligence artificielle est utilisée au profit des entreprises grâce à l’utilisation de la gestion des risques liés à l’information, de la gestion de la confiance , de la résilience, de l’architecture appropriée, de la sûreté et de la sécurité du système, ce qui augmente l’utilité des informations uniquement pour leurs utilisateurs autorisés et réduit. Par conséquent, en plus de se défendre contre les pirates et le code malveillants (par exemple, les virus ), les praticiens de l’intelligence artificielle considèrentles questions de gouvernance d’entreprise telles que la confidentialité , la conformité aux réglementations et aux normes , l’ audit , la continuité des activités et la reprise après sinistre en ce qui concerne les systèmes d’information. De plus, l’IA est un domaine interdisciplinaire nécessitant une expertise en affaires , en comptabilité , en expérience utilisateur, en examen des fraudes , en criminalistique, en sciences de la gestion , en ingénierie des systèmes, en ingénierie de la sécurité et en criminologie , en plus de l’informatique.
Évolution
La croissance des réseaux de télécommunication s’accompagne également de la dépendance vis-à-vis des réseaux, ce qui rend les communautés de plus en plus vulnérables aux cyberattaques susceptibles d’interrompre, de dégrader ou de détruire des services vitaux. [2] À partir des années 1950, le rôle et l’utilisation de l’assurance de l’information se sont développés et ont évolué. Au début, l’assurance de l’information impliquait simplement la sauvegarde des données. [3] Cependant, une fois que le volume d’informations a augmenté, l’acte d’assurance de l’information a commencé à devenir automatisé, réduisant l’utilisation de l’intervention de l’opérateur, permettant la création de sauvegardes instantanées. [3] Le dernier développement majeur de l’assurance de l’information est la mise en œuvre de Systèmes distribués pour le traitement et le stockage des données grâce à des techniques telles queSAN et NAS ainsi que l’utilisation du cloud computing . [4] [5] [3] Ces trois grands développements de l’information s’inscrivent dans les trois générations de technologies de l’information, la première utilisée pour prévenir les intrusions, la 2ème pour détecter les intrusions et la 3ème pour la survivabilité. [6] [7] L’assurance de l’information est un effort de collaboration de tous les secteurs de la vie pour permettre un échange libre et égal d’idées. [8]
Piliers
L’assurance de l’information repose sur cinq piliers : disponibilité , intégrité , authentification , confidentialité et non- répudiation . [9] Ces piliers sont pris en compte pour protéger les systèmes tout en leur permettant de fournir efficacement des services ; Cependant, ces piliers n’agissent pas indépendamment les uns des autres, ils interfèrent plutôt avec l’objectif des autres piliers. [9] Ces piliers de l’assurance de l’information ont lentement changé pour devenir les piliers de la cybersécurité.En tant qu’administrateur, il est important de mettre l’accent sur les piliers que vous souhaitez afin d’atteindre le résultat souhaité pour leur système d’information, en équilibrant les aspects de service et de confidentialité .
Authentification
L’authentification fait référence à la vérification de la validité d’une transmission, d’un expéditeur ou d’un processus au sein d’un système d’information. [10] L’authentification permet au destinataire d’avoir confiance dans la validité des expéditeurs de données ainsi que dans la validité de leur message. [9] Il existe de nombreuses façons de renforcer l’authentification, principalement réparties en trois manières principales, les Informations personnellement identifiables telles que le nom d’une personne, l’adresse, le numéro de téléphone, l’accès à un jeton de clé ou des informations connues, comme les mots de passe. [11]
Intégrité
L’intégrité fait référence à la protection des informations contre toute altération non autorisée. [3] L’objectif de l’intégrité des informations est de garantir l’exactitude des données tout au long de leur durée de vie. [12] [13] L’authentification de l’utilisateur est un catalyseur critique pour l’intégrité de l’information. [9] L’intégrité de l’information est fonction du nombre de degrés de confiance existant entre les extrémités d’un échange d’informations . [13] L’une des façons d’atténuer le risque d’intégrité de l’information consiste à utiliser des conceptions de puces et de logiciels redondants. [14]Un échec de l’authentification pourrait présenter un risque pour l’intégrité des informations car il permettrait à une partie non autorisée de modifier le contenu. Par exemple, si un hôpital a des politiques de mot de passe inadéquates, un utilisateur non autorisé pourrait accéder à un système d’information régissant la délivrance de médicaments aux patients et risquer de modifier le déroulement du traitement au détriment d’un patient particulier. [13]
Disponibilité
Le pilier de la disponibilité fait référence à la conservation des données à récupérer ou à modifier auprès des personnes autorisées. Une plus grande disponibilité est préservée grâce à une augmentation de la fiabilité du système de stockage ou du canal. [9] Les atteintes à la disponibilité de l’information peuvent résulter de pannes de courant, de pannes matérielles, de Ddos , etc. L’objectif de la haute disponibilité est de préserver l’accès à l’information. La disponibilité des informations peut être renforcée par l’utilisation d’ une Alimentation de secours , de canaux de données de réserve , de capacités hors site et d’un Signal continu . [13]
Confidentialité
La confidentialité est essentiellement le contraire de l’intégrité. La confidentialité est une mesure de sécurité qui protège contre qui peut accéder aux données, ce qui se fait en protégeant qui a accès aux informations. [9] Ceci est différent de l’intégrité car l’intégrité protège qui peut modifier les informations. La confidentialité est souvent assurée par l’utilisation de la cryptographie et de la stéganographie des données. [3] La confidentialité peut être vue dans la classification et la supériorité des informations avec des opérations internationales telles que l’OTAN [15] La confidentialité de l’assurance des informations aux États-Unis doit suivre la loi HIPAA et la politique de sécurité des prestataires de soins de santé, l’étiquetage des informations et les réglementations nécessaires pour garantirnon- divulgation d’informations. [13]
Non-répudiation
La non- répudiation est l’intégrité des données pour qu’elles soient fidèles à leur origine, ce qui empêche un éventuel déni qu’une action s’est produite. [3] [1] L’augmentation de la non-répudiation rend plus difficile de nier que l’information provient d’une certaine source. En d’autres termes, cela fait en sorte que vous ne pouvez pas contester la source/l’authenticité des données. La non-répudiation implique la réduction de l’intégrité des données pendant que ces données sont en transit, généralement par le biais d’une attaque de type ” man-in-the-middle” ou d’un hameçonnage . [16]
Interactions des piliers
Comme indiqué précédemment les piliers n’interagissent pas indépendamment les uns des autres, certains piliers entravant le fonctionnement d’autres piliers ou au contraire dynamisant d’autres piliers. [9] Par exemple, l’augmentation de la disponibilité des informations va directement à l’encontre des objectifs de trois autres piliers : l’intégrité, l’authentification et la confidentialité. [9]
Processus
Le processus d’assurance de l’information commence généralement par l’énumération et la classification des actifs informationnels à protéger. Ensuite, le praticien IA effectuera une évaluation des risques pour ces actifs. [17] Les vulnérabilités des actifs informationnels sont déterminées afin d’énumérer les menaces capables d’exploiter les actifs. L’évaluation considère ensuite à la fois la probabilité et l’impact d’une menace exploitant une vulnérabilité d’un actif, l’impact étant généralement mesuré en termes de coût pour les parties prenantes de l’actif. [18] La somme des produits de l’impact des menaces et de la probabilité qu’elles se produisent est le risque total pour l’actif informationnel.
Une fois l’évaluation des risques terminée, le praticien AI élabore ensuite un Plan de gestion des risques . Ce plan propose des contre-mesures qui impliquent l’atténuation, l’élimination, l’acceptation ou le transfert des risques, et envisage la prévention, la détection et la réponse aux menaces. Un cadre publié par un organisme de normalisation, tel que NIST RMF, Risk IT , Cobit , PCI DSS ou ISO/IEC 27002 , peut guider le développement. Les contre- mesures peuvent inclure des outils techniques tels que des pare -feu et des logiciels antivirus, les politiques et procédures nécessitant des contrôles tels que des sauvegardes régulières et un renforcement de la configuration, la formation des employés à la sensibilisation à la sécurité ou l’organisation du personnel en équipe d’intervention d’urgence informatique (CERT) ou en équipe d’intervention en cas d’incident de sécurité informatique ( CSIRT ). Le coût et les avantages de chaque contre-mesure sont soigneusement examinés. Ainsi, le praticien IA ne cherche pas à éliminer tous les risques, si possible, mais à les gérer de la manière la plus Rentable . [19]
Une fois le Plan de gestion des risques mis en œuvre, il est testé et évalué, souvent au moyen d’Audits formels. [17] Le processus d’analyse d’impact est itératif, en ce sens que l’évaluation des risques et le Plan de gestion des risques sont censés être périodiquement révisés et améliorés en fonction des données recueillies sur leur exhaustivité et leur efficacité. [2]
Il existe deux méta-techniques avec l’assurance de l’information : l’ audit et l’évaluation des risques. [17]
Gestion des risques commerciaux
La gestion des risques de l’entreprise se décompose en trois processus principaux d’évaluation des risques, d’atténuation des risques et d’évaluation et d’appréciation. [20] L’assurance de l’information est l’une des méthodologies utilisées par les organisations pour mettre en œuvre la gestion des risques de l’entreprise. Grâce à l’utilisation de politiques d’assurance de l’information comme le cadre de travail “BRICK”. [1] En outre, la gestion des risques commerciaux se produit également pour se conformer aux lois fédérales et internationales concernant la divulgation et la sécurité des informations telles que HIPAA [21] L’assurance des informations peut être alignée sur les stratégies des entreprises grâce à la formation et à la sensibilisation, à la participation et au soutien de la haute direction une communication intra-organisationnelle permettant un meilleur contrôle interne et une meilleure gestion des risques d’entreprise.[22] De nombreux responsables de la sécurité dans nos entreprises se tournent vers une dépendance à l’assurance de l’information pour protéger la propriété intellectuelle, se protéger contre les fuites de données potentielles et protéger les utilisateurs contre eux-mêmes. [18] Alors que l’utilisation de l’assurance de l’information est bonne pour garantir certains piliers tels que la confidentialité, la non-répudiation, etc., en raison de leur nature conflictuelle, une augmentation de la sécurité se fait souvent au détriment de la rapidité. [9] [18] Cela étant dit, l’utilisation de l’assurance de l’information dans le modèle d’entreprise améliore la prise de décision de gestion fiable, la confiance des clients, la continuité des activités et la bonne gouvernance dans les secteurs public et privé. [23]
Organismes de normalisation et normes
Il existe un certain nombre d’organismes internationaux et nationaux qui publient des normes sur les pratiques, les politiques et les procédures d’assurance de l’information. Au Royaume-Uni, il s’agit notamment de l’Information Assurance Advisory Council et de l’ Information Assurance Collaboration Group . [4]
Voir également
- Portail Business_and_economics
- Atout (informatique)
- Contre-mesure (ordinateur)
- Analyse factorielle du risque informationnel
- Pratique de l’information équitable
- Alerte de vulnérabilité de l’assurance des informations
- Sécurité des informations
- ISO/CEI 27001
- ISO 9001
- ISO 17799
- Risque informatique
- Cube McCumber
- Garantie de mission
- Risque
- Risque informatique
- Cadre de gestion des risques
- Contrôles de sécurité
- Menace
- Vulnérabilité
Références
Remarques
- ^ un bcd Sosin , Artur (2018-04-01) . “COMMENT ACCROÎTRE L’ASSURANCE DE L’INFORMATION À L’ÈRE DE L’INFORMATION” . Journal de la gestion des ressources de défense . 9 (1): 45–57. ISSN 2068-9403 .
- ^ un b McConnell, M. (avril 2002). « L’assurance de l’information au XXIe siècle » . Ordinateur . 35 (4) : supl16–supl19. doi : 10.1109/MC.2002.1012425 . ISSN 0018-9162 .
- ^ un bcdef Cummings , R. (décembre 2002) . “L’évolution de l’assurance de l’information” . Ordinateur . 35 (12): 65–72. doi : 10.1109/MC.2002.1106181 . ISSN 0018-9162 .
- ^ un b Pringle, Nick; Burgess, Mikhaïla (mai 2014). “Assurance de l’information dans un cluster médico-légal distribué” . Enquête numérique . 11 : S36–S44. doi : 10.1016/j.diin.2014.03.005 .
- ^ Chakraborty, Rajarshi; Ramireddy, Srilakshmi ; Raghu, TS ; Rao, H. Raghav (juillet 2010). “Les pratiques d’assurance de l’information des fournisseurs de cloud computing” . Professionnel de l’informatique . 12 (4) : 29–37. doi : 10.1109/mitp.2010.44 . ISSN 1520-9202 .
- ^ Luenam, P.; Peng Liu (2003). “La conception d’un système de base de données adaptatif tolérant aux intrusions” . Fondements des systèmes tolérants aux intrusions, 2003 [Systèmes d’information organiquement assurés et survivables] . IEEE : 14–21. doi : 10.1109/fits.2003.1264925 . ISBN 0-7695-2057-X.
- ^ Liu, Peng; Zang, Wanyu (2003). “Modélisation et inférence basées sur les incitations de l’intention, des objectifs et des stratégies de l’attaquant” . Actes de la 10e conférence ACM sur la sécurité informatique et des communications – CCS ’03 . New York, New York, États-Unis : ACM Press : 179. doi : 10.1145/948109.948135 . ISBN 1-58113-738-9.
- ^ Stahl, Bernd Carsten (juillet 2004). “La responsabilité de l’assurance de l’information et de la confidentialité : un problème d’éthique individuelle ?” . Journal of Organizational and End User Computing . 16 (3): 59–77. doi : 10.4018/joeuc.2004070104 . ISSN 1546-2234 .
- ^ un bcdefghi Wilson , Kelce S. ( juillet 2013 ). “Conflits entre les piliers de l’assurance de l’information” . Professionnel de l’informatique . 15 (4): 44–49. doi : 10.1109/mitp.2012.24 . ISSN 1520-9202 .
- ^ Sadiku, Matthieu; Alam, Shumon ; Musa, Sarhan (2017). “Avantages et défis de l’assurance de l’information : une introduction” . procon.bg . Récupéré le 28/11/2020 .
- ^ San Nicolas-Rocca, Tonia; Burkhard, Richard J (2019-06-17). “Sécurité de l’information dans les bibliothèques” . Technologie de l’information et bibliothèques . 38 (2): 58–71. doi : 10.6017/ital.v38i2.10973 . ISSN 2163-5226 .
- ^ Boritz, J. Efrim (décembre 2005). “Le point de vue des praticiens des SI sur les concepts fondamentaux de l’intégrité de l’information” . Journal international des systèmes d’information comptable . 6 (4): 260–279. doi : 10.1016/j.accinf.2005.07.001 .
- ^ un bcde Schou , CD ; Frost, J.; Maconachy, WV (janvier 2004). “Assurance de l’information dans les systèmes informatiques biomédicaux” . IEEE Engineering in Medicine and Biology Magazine . 23 (1): 110-118. doi : 10.1109/MEMB.2004.1297181 . ISSN 0739-5175 . PMID 15154266 .
- ^ Yan, Aibin; Hu, Yuanjie ; Cui, Jie ; Chen, Zhili; Huang, Zhengfeng; Ni, Tianming ; Girard, Patrick; Wen, Xiaoqing (2020-06-01). “Assurance de l’information grâce à une conception redondante : un nouveau verrou résistant aux erreurs TNU pour un environnement de rayonnement difficile” . Transactions IEEE sur les ordinateurs . 69 (6): 789–799. doi : 10.1109/tc.2020.2966200 . ISSN 0018-9340 .
- ^ Hanna, Michael; Granzow, David; Bolte, Bjorn; Alvarado, Andrew (2017). “Partage du renseignement et de l’information de l’OTAN : amélioration de la stratégie de l’OTAN pour les opérations de stabilisation et de reconstruction” . Connexions : Le journal trimestriel . 16 (4): 5–34. doi : 10.11610/connexions.16.4.01 . ISSN 1812-1098 .
- ^ Chen, Chin-Ling; Tchang, Mao-Lun ; Hsieh, Hui-Ching; Liu, Ching-Cheng ; Deng, Yong Yuan (2020-05-08). “Une authentification mutuelle légère avec un appareil portable dans l’informatique de périphérie mobile basée sur la localisation” . Communications personnelles sans fil . 113 (1): 575–598. doi : 10.1007/s11277-020-07240-2 . ISSN 0929-6212 .
- ^ un bc tel, Jose M .; Gouglidis, Antonios; Knowles, Guillaume; Misra, Gaurav; Rashid, Awais (juillet 2016). “Techniques d’assurance de l’information : rentabilité perçue” . Informatique & Sécurité . 60 : 117–133. doi : 10.1016/j.cose.2016.03.009 .
- ^ un bc Johnson, ME ; Goetz, E.; Pfleeger, SL (mai 2009). “La sécurité par la gestion des risques de l’information” . IEEE Sécurité Confidentialité . 7 (3) : 45–52. doi : 10.1109/MSP.2009.77 . ISSN 1558-4046 .
- ^ Singh, R.; Salam, AF (mai 2006). “Assurance sémantique des informations pour la gestion sécurisée des connaissances distribuées : une perspective de processus métier” . Transactions IEEE sur les systèmes, l’homme et la cybernétique – Partie A : Systèmes et humains . 36 (3): 472–486. doi : 10.1109/TSMCA.2006.871792 . ISSN 1083-4427 .
- ^ Knapp, Kenneth J., éd. (2009). Cybersécurité et assurance globale de l’information . IGI Global. doi : 10.4018/978-1-60566-326-5 . ISBN 978-1-60566-326-5.
- ^ Parc, Insu; Sharman, Raj; Rao, H. Raghav (2015-02-02). “Expérience en cas de catastrophe et systèmes d’information hospitaliers: un examen de l’assurance, du risque, de la résilience et de l’utilité de l’information perçue” . MIS Trimestriel . 39 (2): 317–344. doi : 10.25300/misq/2015/39.2.03 . ISSN 0276-7783 .
- ^ McFadzean, Elspeth; Ezingeard, Jean-Noël; Birchall, David (2011-04-08). “Assurance de l’information et stratégie d’entreprise : une étude Delphi des choix, des défis et des développements pour l’avenir” . Gestion des Systèmes d’Information . 28 (2): 102–129. doi : 10.1080/10580530.2011.562127 . ISSN 1058-0530 .
- ↑ Ezingeard, Jean-Noël ; McFadzean, Elspeth ; Birchall, David (mars 2005). “Un modèle d’avantages de l’assurance de l’information” . Gestion des Systèmes d’Information . 22 (2): 20–29. doi : 10.1201/1078/45099.22.2.20050301/87274.3 . ISSN 1058-0530 .
Bibliographie
- Cryptage des données ; Des scientifiques de l’Université Chang Gung ciblent le cryptage des données. (2011, mai). Information Technology Newsweekly,149. Extrait le 30 octobre 2011 de ProQuest Computing. (ID de document : 2350804731).
- Stephenson (2010). “Authentification: un pilier de l’assurance de l’information”. Revue SC . 21 (1): 55.
- Cummings, Roger (2002). “L’évolution de l’assurance de l’information” (PDF) . Ordinateur . 35 (12): 65–72. doi : 10.1109/MC.2002.1106181 .[ lien mort permanent ]
Liens externes
Documentation
- Gouvernement britannique
- NORME HMG INFOSEC NO. 2 Gestion des risques et accréditation des systèmes d’information (2005)
- Références IA
- Langage de balisage de schéma XML d’assurance de l’information
- Directive DoD 8500.01 Assurance des informations
- Tableau de politique DoD IA Tableau de politique DoD IA
- Archives de l’assurance de l’information Archives de l’assurance de l’information
L’assurance de l’information a également évolué en raison des médias sociaux