Votre plan de sécurité
Dernière révision : October 27, 2023
Essayer de protéger toutes vos données contre tout, à tout moment, est peu pratique et épuisant. Mais n’ayez crainte ! La sécurité est un processus et grâce à une planification réfléchie, vous pouvez élaborer le plan qui vous convient le mieux. La sécurité ne concerne pas seulement les outils que vous utilisez ou les logiciels que vous téléchargez. Cela commence par comprendre les menaces uniques auxquelles vous êtes confronté et comment vous pouvez contrer ces menaces.
En sécurité informatique, une menace est un événement potentiel susceptible de miner vos efforts de défense de vos données . Vous pouvez contrer les menaces auxquelles vous êtes confronté en déterminant ce que vous devez protéger et contre qui vous devez le protéger. Il s’agit du processus de planification de la sécurité, souvent appelé « modélisation des menaces ».
Ce guide vous expliquera comment élaborer un plan de sécurité pour vos informations numériques et comment déterminer les solutions qui vous conviennent le mieux.
À quoi ressemble un plan de sécurité ? Disons que vous souhaitez assurer la sécurité de votre maison et de vos biens. Voici quelques questions que vous pourriez poser, en utilisant des mots-clés comme « atouts » et « adversaires » qui reviendront plus tard :
Qu’est-ce que j’ai à l’intérieur de ma maison qui mérite d’être protégé ?
- Les assets (actifs ) peuvent inclure : des bijoux, des appareils électroniques, des documents financiers, des passeports ou des photos.
De qui est-ce que je veux le protéger ?
- Les adversaires peuvent inclure : des cambrioleurs, des colocataires ou des invités
Quelle est la probabilité que je doive le protéger ?
- Mon quartier a-t-il des antécédents de cambriolages ? Dans quelle mesure mes colocataires/invités sont-ils dignes de confiance ? Quelles sont les capacités de mes adversaires ? Quels sont les risques que je dois considérer ?
Quelles sont les conséquences si j’échoue ?
- Ai-je quelque chose dans ma maison que je ne peux pas remplacer ? Ai-je le temps ou l’argent pour remplacer ces choses ? Ai-je une assurance qui couvre les biens volés à mon domicile ? Y a-t-il d'autres personnes dans ma vie dont la sécurité sera compromise si ces menaces se produisent ?
Combien de problèmes suis-je prêt à endurer pour éviter ces conséquences ?
- Suis-je prêt à acheter un coffre-fort pour les documents sensibles ? Puis-je me permettre d’acheter une serrure de haute qualité ? Ai-je le temps d’ouvrir un coffre-fort dans ma banque locale et d’y conserver mes objets de valeur ?
Qui sont mes alliés ?
- Y a-t-il des personnes avec qui je vis qui pourraient aider à protéger les choses qui me tiennent à cœur ? Y a-t-il des voisins qui pourraient en savoir plus sur l'endroit où nous vivons et les ressources auxquelles nous avons accès ?
Une fois ces questions posées, vous êtes en mesure d’évaluer les mesures à prendre. Si vos biens ont de la valeur, mais que la probabilité d’une effraction est faible, vous ne voudrez peut-être pas investir trop d’argent dans une serrure. Mais si la probabilité d’une effraction est élevée, vous souhaiterez vous procurer la meilleure serrure du marché et envisager d’ajouter un système de sécurité.
Vous commencez peut-être déjà à sentir qu’il n’y a pas de réponse définitive à ces questions. Vous devez plutôt porter des jugements en fonction de ce que vous appréciez et de la probabilité qu’une menace se réalise. C'est l'essence de cet exercice ; prendre des décisions éclairées basées sur la mesure de la gravité de l'impact des menaces, de la probabilité qu'elles se produisent et sur la priorisation des éléments que vous souhaitez protéger.
Comment puis-je élaborer mon propre plan de sécurité ? Où est-ce que je commence? anchor link
Lorsque vous élaborez un plan de sécurité, répondez à ces six questions :
- Qu’est-ce que je veux protéger ?
- De qui dois-je le protéger ?
- Quelles sont les conséquences d’un échec ?
- Quelle est la probabilité que je doive le protéger ?
- Combien de difficultés suis-je prêt à affronter pour essayer de prévenir les conséquences potentielles ?
- Qui sont mes alliés ?
Examinons de plus près chacune de ces questions.
Qu’est-ce que je veux protéger ? anchor link
Un « asset » est un actif, quelque chose que vous appréciez et que vous souhaitez protéger. Dans le contexte de la sécurité numérique, un actif est généralement une sorte d’information. Par exemple, il peut s'agir de vos e-mails, listes de contacts, messages directs, emplacement ou autres documents. Vos appareils eux-mêmes peuvent également être des atouts.
Faites une liste de vos assets : les données que vous conservez, où elles sont conservées, qui y a accès et ce qui empêche les autres d'y accéder.
De qui dois-je le protéger ? anchor link
Pour répondre à cette question, il est important d’identifier qui pourrait vouloir vous cibler ou cibler vos informations. Une personne ou une entité qui constitue une menace pour vos actifs est un « adversaire ». Des exemples d'adversaires potentiels sont votre patron, les forces de l'ordre, votre ancien partenaire, vos concurrents, votre gouvernement ou un pirate informatique sur un réseau public. Cela pourrait même inclure des personnes en qui vous auriez autrement confiance et qui pourraient accidentellement compromettre vos actifs en négligeant leurs propres plans de sécurité.
Faites une liste des adversaires potentiels ou connus, ou de ceux qui pourraient vouloir mettre la main sur vos assets. Votre liste peut inclure des particuliers, une agence gouvernementale ou des entreprises. Selon qui sont vos adversaires, dans certaines circonstances, cette liste peut être quelque chose que vous souhaitez détruire une fois que vous avez terminé la planification de la sécurité.
Quelles sont les conséquences d’un échec ? anchor link
Il existe de nombreuses façons pour un adversaire d’accéder à vos données. Par exemple, un adversaire pourrait vous amener à cliquer sur un lien malveillant envoyé à votre adresse e-mail et qui compromettrait votre ordinateur. Ou plus simplement, il pourrait s’agir de quelqu’un qui capture vos messages privés et utilise ces informations contre vous.
Les motivations des adversaires diffèrent considérablement, tout comme leurs tactiques. Certaines peuvent être très sophistiquées sur le plan technique, tandis que d’autres ressemblent davantage à des escroqueries conçues pour gagner votre confiance et finalement la trahir.
La planification de la sécurité implique de comprendre à quel point les conséquences pourraient être graves si un adversaire réussissait à accéder à l’un de vos actifs. Pour déterminer cela, vous devez considérer les capacités de votre adversaire. Par exemple, votre opérateur de téléphonie mobile a accès à tous vos enregistrements téléphoniques. Votre gouvernement pourrait avoir des capacités plus fortes.
Notez ce que votre adversaire pourrait vouloir faire avec vos données privées.
Quelle est la probabilité que je doive le protéger ? anchor link
Le risque est la probabilité qu'une menace particulière contre un actif particulier se produise réellement. Cela va de pair avec la capacité. Par exemple, même si votre opérateur de téléphonie mobile a la capacité d’accéder à toutes vos données, le risque qu’il publie vos données privées en ligne pour nuire à votre réputation est faible.
Il est important de faire la distinction entre ce qui pourrait arriver et la probabilité que cela se produise. Par exemple, votre bâtiment risque de s'effondrer, mais le risque que cela se produise est bien plus grand à San Francisco (où les tremblements de terre sont fréquents) qu'à Stockholm (où ils ne sont pas fréquents).
L'évaluation des risques est un processus à la fois personnel et subjectif. De nombreuses personnes trouvent certaines menaces inacceptables, quelle que soit la probabilité qu'elles se produisent, car la simple présence de la menace, quelle que soit la probabilité, n'en vaut pas le prix. Dans d’autres cas, les gens ignorent les risques élevés parce qu’ils ne considèrent pas la menace comme un problème.
Notez les menaces que vous allez prendre au sérieux et celles qui peuvent être trop rares ou trop inoffensives (ou trop difficiles à combattre) pour vous inquiéter.
Combien de difficultés suis-je prêt à affronter pour essayer de prévenir les conséquences potentielles ? anchor link
Il n’existe pas d’option parfaite en matière de sécurité. Tout le monde n’a pas les mêmes priorités, préoccupations ou accès aux ressources. Votre évaluation des risques vous permettra de planifier la stratégie qui vous convient, en équilibrant commodité, coût et confidentialité.
Par exemple, un avocat représentant un client dans une affaire de sécurité nationale peut être prêt à faire plus d'efforts pour protéger les communications concernant cette affaire, par exemple en utilisant des courriers électroniques cryptés, qu'un membre de la famille qui envoie régulièrement par courrier électronique des vidéos amusantes de chats.
Notez les options dont vous disposez pour vous aider à atténuer vos menaces uniques. Notez si vous avez des contraintes financières, techniques ou sociales.
Qui sont mes alliés ? anchor link
Comme nous l’avons indiqué à plusieurs reprises tout au long de ce guide, la confidentialité et la sécurité numériques sont un sport d’équipe qui s’applique mieux avec l’aide des autres. Ce n’est pas seulement parce que le nombre a du pouvoir, mais aussi parce que votre vie privée et votre sécurité se chevauchent avec celles des autres personnes dans votre vie. Si une menace vous affecte, elle pourrait également les affecter, et vice versa.
Pensez à qui vous accordez cette confiance. Par exemple, demandez-vous si quelqu'un pourrait être une « menace interne », une personne de votre réseau de confiance qui pourrait trahir votre sécurité d'une manière ou d'une autre. Mais ne laissez pas la peur d’une menace interne vous décourager d’établir des liens avec les autres. Utilisez-le plutôt comme un guide pour vous inciter à planifier soigneusement et à vous assurer que les autres membres de vos cercles prennent également leur sécurité au sérieux.
Ouvrez un dialogue avec d’autres personnes qui partagent probablement les mêmes préoccupations que vous. Parvenez à des accords communs sur la manière de prendre soin les uns des autres et sur les informations avec lesquelles se faire confiance.
La planification de la sécurité comme pratique régulière anchor link
Gardez à l’esprit que votre plan de sécurité peut changer à mesure que votre situation évolue. Ainsi, revoir fréquemment votre plan de sécurité est une bonne pratique.
Créez votre propre plan de sécurité basé sur votre propre situation. Marquez ensuite votre calendrier pour une date dans le futur. Cela vous invitera à revoir votre plan et à vérifier à nouveau s’il est toujours pertinent pour votre situation.