Sécurité de l'information
L'arrêté royal du 17/03/2013 définit la « sécurité de l'information » comme des stratégies, règles, procédures et moyens de protection de tout type d’information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l’intégrité, la fiabilité, l’authenticité et l’irréfutabilité de l’information.
Il s'agit, en grandes lignes, de la protection de toutes les formes d'informations de l’organisation contre tout accès ou toute modification illicites. A cet effet, sont prises des mesures visant à garantir les caractéristiques suivantes de l'information :
- la confidentialité : les données sont uniquement disponibles pour les personnes ou entités compétentes et pour des processus déterminés ;
- la disponibilité : avoir accès aux données et pouvoir en disposer au moment souhaité ;
- l'intégrité : l'exactitude et l'exhaustivité des données ;
- l'authenticité : le degré de fiabilité de l'originalité et de l'origine des données ;
- l'irréfutabilité : pouvoir prouver qu'une action ou un événement a réellement eu lieu ;
- de plus, la notion d'auditabilité est également importante, c’est-à-dire pouvoir tracer des actions et des activités exécutées par les personnes compétentes (ou non compétentes).
La sécurité de l'information cadre les questions suivantes :
- Qui peut accéder à quelles informations et quand ?
- Les activités de consultation d'informations sont-elles traçables (et donc auditables) ?
- Comment protéger l'enregistrement et l'échange d'informations sensibles entre plusieurs parties ?
- Quels sont les risques de sécurité et quelles mesures sont envisageables pour réduire les risques et respecter la législation ?
- Comment démontrer que notre organisation maîtrise la protection de l'information ?
- Comment réaliser une protection de l'information de manière efficace et effective (avec un rapport coût/efficacité satisfaisant) ?
- Quelles sont les responsabilités de chacun ?