Sécurité de l’information: Faire le pont entre la cybersécurité et la sécurité physique

Frédéric Maurette

Imaginez cela si vous le voulez bien :

Un employé télétravaille sur des informations commerciales et financières essentielles de l’entreprise. Quelques heures plus tard, l’employé prend une pause pour aller à l’épicerie. L’ordinateur portable et les fichiers sont laissés sur la table de la salle à manger. Vingt minutes plus tard, un intrus se glisse par la porte arrière déverrouillée. Le système d’alarme n’avait pas été réglé. L’intrus remarque les documents et le matériel et part avec eux. L’employé signale rapidement le vol à son patron et à la police, mais le mal est fait. Un jour plus tard, le département informatique de la sécurité de l’entreprise remarque que le mot de passe faible a été violé et que des informations sensibles de l’entreprise ont été compromises.

Qu’est-ce qui a mal tourné? Malheureusement, ce scénario n’est pas loin de la réalité. Les deux éléments clés de la sécurité de l’information, la cybersécurité et la sécurité physique, convergent dans une situation qui était entièrement évitable.

COVID-19 ayant un impact sur les entreprises, les organisations et les gouvernements du monde entier, ceux-ci ont soit mis en œuvre des plans de continuité des activités bien élaborés, soit réagi du mieux qu’ils pouvaient pour atténuer les pertes de revenus et de main-d’œuvre disponible. De plus en plus, le lieu de travail est devenu plus décentralisé, les travailleurs accomplissant leurs tâches tout en étant physiquement éloignés les uns des autres. Le travail à domicile augmente la dépendance aux plateformes en ligne pour tout ce qui concerne la stratégie, la planification financière et les projets. Les moyens électroniques permettant de communiquer efficacement par courrier électronique, voix et vidéo dépendent de la confidentialité, de l’intégrité et de la disponibilité des systèmes choisis. La cybersécurité est considérée par tous comme un facteur essentiel de la résilience des entreprises et de l’économie, mais elle n’est qu’un élément de la sécurité de l’information.

La cybersécurité est la pratique consistant à défendre les ordinateurs, les serveurs, les appareils mobiles, les systèmes électroniques, les réseaux et les données contre les attaques malveillantes. Parmi les principales catégories figurent la protection des applications et des réseaux ainsi que le stockage électronique des données et la sécurité opérationnelle, qui consiste en des processus et des décisions visant à protéger les données en tant qu’actif. La sécurité opérationnelle consiste également à s’assurer que les informations relatives aux mouvements, aux horaires et aux emplacements du personnel sont protégées et que les conversations par voie numérique ou lors de réunions ne sont pas interceptées.

La perte de propriété intellectuelle et de secrets commerciaux s’élève à des dizaines de milliards de dollars par an au Canada seulement, alors qu’aux États-Unis, ce chiffre atteint des centaines de milliards de dollars. La protection contre de telles pertes nécessite un programme de sécurité complet qui évite les maillons faibles en tirant parti de la convergence des activités de sécurité physique, électronique et cybernétique de manière globale. Par exemple, un programme de cybersécurité sophistiqué ne peut pas protéger des informations qui pourraient être volées par des utilisateurs autorisés ou par l’utilisation de caméras cachées, de microphones sans fil, de traqueurs GPS, de sources de radiofréquences, d’écoutes téléphoniques ou de micros.

Les efforts d’une organisation pour protéger ses informations critiques reposent sur les défenses à plusieurs niveaux de l’ensemble de son programme de sécurité. La sécurité physique protège les approches et l’infrastructure des informations et des ressources informatiques. Elle est étayée par des évaluations complètes des menaces et des risques, des études de site, ainsi que par une ingénierie et une conception de la sécurité soutenues par des politiques et des procédures qui portent sur le contrôle des accès, l’examen du personnel et les capacités de réponse aux incidents de sécurité.

Enfin, l’une des clés pour protéger avec succès les informations d’une organisation est d’inculquer une culture de la sécurité et un état d’esprit sécuritaire à la maison et au travail. La formation à la sensibilisation à la sécurité fait partie d’un programme de sécurité holistique dans lequel tout le monde doit être impliqué, du PDG au nouveau collaborateur.

En gardant cela à l’esprit, l’employé du scénario précédent aurait physiquement verrouillé et sécurisé les documents et l’ordinateur portable, employé un mot de passe fort, aurait verrouillé la porte arrière et enclenché le système d’alarme avant de partir.

En gardant cela à l’esprit, l’employé du scénario précédent aurait physiquement verrouillé et sécurisé les documents et l’ordinateur portable, employé un mot de passe fort, aurait verrouillé la porte arrière et enclenché le système d’alarme avant de partir.

Presidia Security Consulting, membre du groupe de sociétés ADGA, possède une vaste expérience dans la conduite d’examens complets de programmes de sécurité, y compris la protection de la sécurité des informations pour les grands ministères et les entreprises privées. Si vous avez besoin d’informations complémentaires ou d’assistance, vous pouvez nous contacter à l’adresse suivante: contact@presidiasecurity.com.


L’auteur, Frédéric Maurette, est le directeur de Presidia Security Consulting Inc. – région du Québec. Il peut être joint à l’adresse suivante: fmaurette@presidiasecurity.com.