Surveillance
Self-Defense

Votre plan de sécurité

Dernière révision: 
10-01-2019
Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.

Tenter de protéger toutes vos données, de tout le monde, en tout temps est irréaliste et épuisant. Mais n’ayez crainte ! La sécurité est un processus, et une planification réfléchie vous permettra d’établir un plan qui vous convient. La sécurité ne se réduit pas aux outils que vous utilisez ou aux logiciels que vous téléchargez. Elle commence par une compréhension des menaces particulières auxquelles vous êtes exposé et de la façon de vous en prémunir.

En sécurité informatique, une menace est un événement potentiel qui pourrait compromettre vos efforts pour défendre vos données. Vous pouvez faire obstacle aux menaces auxquelles vous êtes exposé en déterminant ce que vous devez protéger, et contre qui. C’est le processus de planification de la sécurité, souvent appellé « modélisation des menaces ».

Ce guide vous apprendra à établir un plan de sécurité pour vos renseignements numériques et à déterminer les solutions qui vous conviennent le mieux.

À quoi pourrait ressembler un plan de sécurité ? Disons que vous souhaitez assurer la sécurité de votre maison et de vos possessions. Voici quelques questions que vous pourriez vous poser :

Qu’est-ce qui vaut la peine d’être protégé dans ma maison ?

  • Les biens pourraient inclure : des bijoux, des appareils électroniques, des documents financiers, des passeports ou des photos

Contre qui les protéger ?

  • Les adversaires pourraient être : des cambrioleurs, des colocataires ou des invités

Dans quelle mesure ai-je besoin de les protéger ?

  • Des cambriolages ont-ils déjà eu lieu dans mon quartier ? Mes colocataires ou invités sont-ils dignes de confiance ? Que pourraient faire mes adversaires ? Quels risques devrais-je prendre en considération ?

Quelle est l’ampleur des conséquences si j’échoue ?

  • Ai-je quoi que ce soit qui ne peut pas être remplacé dans ma maison ? Ai-je le temps ou l’argent pour remplacer ces choses ? Mon assurance couvre-t-elle les biens volés dans ma maison ?

Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

  • Suis-je prêt à acheter un coffre pour les documents de nature délicate ? Puis-je me permettre d’acheter une serrure de haute qualité ? Ai-je le temps de louer un coffret de sécurité à ma banque locale et d’y conserver mes biens de valeur ?

Une fois que vous vous êtes posé ces questions, vous êtes à même d’évaluer les mesures à prendre. Si vous possédez des biens de valeur, mais que la probabilité d’un cambriolage est moindre, vous ne voudrez alors peut-être pas investir trop d’argent dans une serrure. Mais si la probabilité est élevée, vous achèterez la meilleure serrure sur le marché ou envisagerez d’acheter un système de sécurité.

Établir un plan de sécurité vous aidera à comprendre les menaces particulières auxquelles vous êtes exposé, mais aussi à évaluer vos actifs, vos adversaires et leurs possibilités d’action, tout en diminuant les risques possibles.

 

Comment puis-je établir mon propre plan de sécurité ? Par où commencer ? Anchor link

La planification de la sécurité vous aide à cerner ce qui pourrait arriver aux choses auxquelles vous tenez et à déterminer contre qui vous devez les protéger. Répondez à ces cinq questions quand vous établissez un plan de sécurité :

  1. Que veux-je protéger ?
  2. Contre qui ?
  3. Quelle est l’ampleur des conséquences si j’échoue ?
  4. Dans quelle mesure ai-je besoin de le protéger ?
  5. Quelles difficultés suis-je prêt à rencontrer pour tenter de prévenir des conséquences potentielles ?

Regardons chacune de ces questions de plus près.

Que veux-je protéger ?

Un bien est quelque chose auquel vous tenez et que vous souhaitez protéger. Dans le contexte de la sécurité numérique, on parlera plutôt d’« actifs » qui seront habituellement des informations. Par exemple, vos courriels, vos listes de contacts, vos messages instantanés, votre position géographique et vos fichiers sont tous des actifs possibles.

Rédigez une liste de vos actifs : les données que vous conservez, où elles se trouvent, qui y ont accès, et enfin ce qui empêche les autres d’y accéder.

Contre qui le protéger ?

Pour répondre à cette question, il est important de déterminer qui pourrait vouloir prendre vos renseignements ou vous pour cible. Une personne ou entité qui présente une menace pour vos biens est un « adversaire ». Votre patron, votre ancien associé, votre concurrent commercial, votre gouvernement ou un pirate sur un réseau public sont des exemples d’adversaires possibles.

Rédigez une liste de vos adversaires et de ceux qui pourraient vouloir s’emparer de vos actifs. Votre liste peut comprendre des personnes, un organisme gouvernemental ou des entreprises.

En fonction de l’identité de vos adversaires, dans certaines conditions, vous voudrez peut-être détruire cette liste après avoir planifié la sécurité.

Quelle est l’ampleur des conséquences si j’échoue?

Un adversaire pourrait accéder à vos données de différentes façons. Par exemple, un adversaire peut lire vos communications personnelles alors qu’elles transitent par le réseau, ou il peut supprimer ou corrompre vos données.

Les intentions des adversaires diffèrent considérablement, tout comme leurs tactiques. Un gouvernement qui tente d’empêcher la propagation d’une vidéo de violence policière pourrait se contenter de supprimer cette vidéo ou d’y réduire l’accès. Par contre, un adversaire politique souhaitera peut-être avoir accès à un document secret afin de le publier sans que vous le sachiez.

La planification de la sécurité implique aussi de comprendre la gravité des conséquences si un adversaire réussissait à accéder à l’un de vos actifs. Pour ce faire, vous devriez tenir compte de la possibilité d’action de votre adversaire. Par exemple, votre fournisseur de télécommunications mobiles peut accéder à tous les relevés de votre téléphone. Sur un réseau Wi-Fi ouvert, un pirate peut accéder à vos communications non chiffrées. La possibilité d’action de votre gouvernement pourrait être encore plus étendue.

Notez ce que votre adversaire pourrait vouloir faire de vos données personnelles.

Dans quelle mesure ai-je besoin de le protéger ?

Le risque est la probabilité qu’une certaine menace, contre un actif particulier, se réalise effectivement. Il va de pair avec la possibilité d’action. Bien que votre fournisseur de télécommunications mobiles puisse accéder à toutes vos données, le risque qu’il publie en ligne vos données personnelles pour nuire à votre réputation est faible.

Il est important de faire une distinction entre ce qui pourrait arriver et la probabilité que cela arrive. Par exemple, il y a menace que votre bâtiment s’effondre, mais le risque que cela arrive est bien plus grand à San Francisco (où les tremblements de terre sont fréquents) qu’à Stockholm (où ce n’est pas le cas).

Évaluer les risques est à la fois un processus personnel et subjectif. Nombreux sont ceux qui trouvent certaines menaces inacceptables, quelle que soit la probabilité qu’elles se concrétisent, car la seule présence de menace, probable ou non, ne vaut pas le coût. Dans d’autres cas, les gens ignorent des risques élevés, car ils ne considèrent pas la menace comme un problème.

Notez les menaces que vous allez prendre au sérieux et celles qui sont trop rares ou trop anodines (ou encore trop difficiles à combattre) pour vous en soucier.

Quelles difficultés suis-je prêt à rencontrer pour prévenir ces conséquences ?

Il n’y a pas d’option parfaite en matière de sécurité. Tout le monde n’a pas les mêmes priorités, les mêmes inquiétudes, ni le même accès à des ressources. Votre évaluation du risque vous permettra de planifier la stratégie de sécurité qui vous convient, en assurant un équilibre entre commodité, coût et confidentialité.

Par exemple, un avocat qui représente un client dans un cas de sécurité nationale pourrait aller beaucoup plus loin pour protéger les communications concernant ce cas, comme chiffrer les courriels, qu’une mère qui envoie fréquemment des vidéos amusantes de chats à sa fille.

Notez les options qui s’offrent à vous pour vous aider à atténuer vos menaces particulières. Notez aussi si vous avez des contraintes financières, techniques ou sociales.

 

La planification de la sécurité comme pratique habituelle Anchor link

N’oubliez pas que votre plan de sécurité peut évoluer en fonction de votre situation. C’est pourquoi il est de bonne pratique de revoir votre plan de sécurité fréquemment.

Créez votre propre plan de sécurité en fonction de votre situation particulière. Inscrivez ensuite un rappel futur dans votre agenda, rappel qui vous invitera à revoir votre plan et à évaluer s’il s’applique toujours à votre situation.

JavaScript license information