Publié le 18 novembre 2019 * 2 min de lecture

Les contrôles de sécurité de l’information sont des mesures prises pour réduire les risques de sécurité de l’information tels que les violations des systèmes d’information, le vol de données et les modifications non autorisées d’informations ou de systèmes numériques. Ces contrôles de sécurité sont destinés à aider à protéger la disponibilité, la confidentialité et l’intégrité des données et des réseaux, et sont généralement mis en œuvre après une évaluation des risques liés à la sécurité de l’information.

Les types de contrôles de sécurité de l’information comprennent les politiques de sécurité, les procédures, les plans, les dispositifs et les logiciels destinés à renforcer la cybersécurité. Il existe trois catégories de contrôles de sécurité de l’information:

• Contrôles de sécurité préventifs, conçus pour prévenir les incidents de cybersécurité
• Contrôles de sécurité de détection, visant à détecter une tentative de violation de la cybersécurité (« événement”) ou une violation réussie (« incident”) pendant qu’elle est en cours, et à alerter le personnel de cybersécurité
• Contrôles de sécurité correctifs, utilisés après un incident de cybersécurité pour aider à minimiser la perte de données et les dommages au système ou au réseau, et restaurer les systèmes et processus métier critiques aussi rapidement que possible ( » résilience”)

Les contrôles de sécurité se présentent sous la forme de:

• Contrôles d’accès, y compris les restrictions d’accès physiques telles que les gardes de sécurité aux entrées des bâtiments, aux serrures et aux clôtures périmétriques
• Contrôles procéduraux tels que l’éducation à la sensibilisation à la sécurité, la formation à la conformité des cadres de sécurité et les plans et procédures d’intervention en cas d’incident
• Contrôles techniques tels que en tant qu’authentification utilisateur multifacteur à la connexion (login) et contrôles d’accès logiques, logiciels antivirus, pare-feu
• Contrôles de conformité tels que les lois sur la confidentialité et la cyber cadres et normes de sécurité.

Les cadres et normes de sécurité de l’information les plus utilisés comprennent :

• La publication spéciale 800-53 du National Institute of Standards and Technology (NIST), Contrôles de Sécurité et de confidentialité pour les Systèmes et Organisations d’Information fédéraux. Ce document énumère les exigences de sécurité utiles non seulement pour les organismes fédéraux, mais aussi pour les programmes de gestion des risques liés à la sécurité de l’information de toutes les organisations.
• La norme ISO 27001 de l’Organisation internationale de normalisation (ISO), Gestion de la sécurité de l’information, qui fournit des conseils sur la sécurité des technologies de l’information et la sécurité informatique.
• La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), qui établit des exigences de sécurité et des contrôles de sécurité pour la protection des données sensibles associées aux informations personnelles sur les cartes de crédit et les cartes de paiement
• La Health Insurance Portability and Accountability Act (HIPAA), une loi fédérale réglementant la sécurité de l’information et la protection de la vie privée des informations de santé personnelles

Cadres et les normes sont des systèmes qui, lorsqu’ils sont suivis, aident une entité à gérer de manière cohérente les contrôles de sécurité de l’information pour tous leurs systèmes, réseaux et périphériques, y compris la gestion de la configuration, la sécurité physique, la sécurité du personnel, la sécurité du réseau et les systèmes de sécurité de l’information. Ils définissent ce qui constitue de bonnes pratiques de cybersécurité et fournissent une structure que les entités peuvent utiliser pour gérer leurs contrôles de sécurité de l’information.