Sécurité de l’information ou sécurité informationnelle ?
24/11/23 09:39
La cybersécurité, et son bras armé, la cyberdéfense mettent en avant la sécurité des informations et cela est pratiquement entièrement tourné vers la protection de données existantes. Il faut en assurer la sécurité c’est-à-dire en empêcher le vol, la corruption, la manipulation et la destruction. Généralement, il est dit qu’il faut garantir la confidentialité, l’intégrité, la disponibilité et la traçabilité des données pour les protéger. Pour une organisation cela concerne presque exclusivement les données qu’elle possède, celles qu’elle a générées, achetées, échangées ou obtenues par quelque moyen que ce soit. Or il existe un volume important de données qui la concerne mais qui lui est externe et lui échappe en termes de contrôle. Il faudrait d’abord se détacher du terme de donnée (essentiellement technique) pour parler d’information (intégrant le niveau sémantique).
Cela tient tout naturellement de la constitution en couche du cyberespace : la couche physique véhicule les données sous forme binaire c’est-à-dire à ce niveau sous forme de variation de potentiel électrique, de fréquence, de puissance lumineuse ou de moyens physiques spécifiques à la technologie. Au niveau supérieur, le niveau logique nous pouvons parler de données, il s’agit de groupes d'indications plus ou moins ordonnés qui sont acheminés d’un point A à un point B. Si ces groupes peuvent contenir des informations importantes, elles sont plutôt considérées et traitées ici comme dénuées de sens propre et vue de manière unitaire. Le dernier niveau du cyberespace, la couche sémantique, elle, traite non plus des données mais des informations, ayant un sens et porteuses de messages. Cette couche sémantique est probablement celle qui est la moins prise en considération dans le domaine de la cybersécurité. Les approches de cyberdéfense cherchent essentiellement à protéger les données mais beaucoup plus rarement les informations. Les deux notions d’ailleurs ne sont pas exclusives mais bien complémentaires, difficile en effet de parler de sécurité de l’information si celle des données n’est pas assurée. De plus, il y a une certaine confusion à cause de l’emploi abusif des termes sécurité des données ou de l’information, ou encore sécurité de l’information et sécurité informationnelle. Ces termes ne sont pas équivalents. Il s’agit aussi ici de contexte culturel ou d’habitude, par exemple les québécois ne différencient pas au niveau du vocabulaire, la sécurité informationnelle de la sécurité de l'information, le formulaire officiel de déclaration d'incident de sécurité de l'information est considéré comme concernant la sécurité informationnelle. Néanmoins, en France, ces deux vocables ne sont pas équivalents. Pour nous la sécurité de l'information concerne les données, il s'agit plutôt d'une approche technique, le sens des données n'est pas ici au centre du sujet, alors que la sécurité informationnelle concerne le sens de l’information et son utilisation dans la sphère publique ou privée : rumeur, fausse nouvelle, désinformation, influence, orientation d’opinion….
Assez souvent, notamment dans les propositions de postes à pourvoir, les termes sécurité de l’information et sécurité informationnelle sont employés sans distinction. Or il s’agit de deux choses différentes. La sécurité de l’information concerne la protection au sens large des données brutes. La sécurité informationnelle a pour objet de protéger la structure contre la diffusion d’informations non désirées. Souvent, ces informations sont sorties du contexte, éloignées en temps, déformées, erronées voire construites de toute pièce (fake news). Pour autant cela a des conséquences, parfois graves, sur les organisations. Nous connaissons tous les phénomènes de rumeurs juste avant une OPA hostile. Il n’y a pas si longtemps, lors du retrait des forces française de la base de Gossi au Mali, l’armée française a subi une attaque informationnelle visant Barkhane. Les forces françaises ont été accusées d’avoir laissé un charnier derrière elles. Des vidéos prises par des moyens aériens permettent d’assister à la fabrication d’une infox orchestrée par la société Wagner, et relayée par des trolls russes sur les réseaux sociaux. Sans aller jusqu’à ces situations extrêmes, et si toutes les organisations ne seront pas ciblées par des attaques informationnelles d’ampleur, le risque informationnel existe et peut prendre bien des formes. Il peut s’agir par exemple de fausses notations sur les sites d’avis clients, certains restaurants ou hôtels en ont déjà fait les frais. Pour revenir au sujet général, la différence entre sécurité de l’information et sécurité informationnelle, il existe deux doctrines différentes en la matière. L’une consiste à considérer les deux comme un tout, la sécurité de l’information n’étant finalement qu’un sous-ensemble de la sécurité informationnelle qui ne traite que la protection des données brutes. L’autre séparant clairement les deux domaines. Elles mettent en œuvre des moyens de contrôle et d’action très différents. A mon sens le débat reste ouvert même si je suis d’accord sur le fait que les deux champs nécessitent des compétences, des moyens et des stratégies différentes. Nos sociétés reposent sur les informations et leur circulation, certains ont parlé du nouvel or noir que constituent les données. Dès lors il parait difficile d’assurer la protection des informations sans prendre en compte un minimum le champ sémantique et les stratégies d’influence associées.
En France, en tout cas au niveau de l’état, les deux concepts sont traités séparément. Nous pouvons considérer que la sécurité des données ou de l’information est du domaine de responsabilité de l’ANSSI et du GIP ACYMA alors que la sécurité informationnelle dispose de ces propres organisations.
En ce qui concerne le domaine militaire, la doctrine de lutte informatique d’influence (L2I) vient organiser et structurer le combat de l’information mené dans le cyberespace. La guerre de l’information au sein du cyberespace fait dorénavant partie intégrante de toute stratégie militaire. La lutte informatique d’influence désigne les opérations militaires conduites dans la couche informationnelle du cyberespace pour détecter, caractériser et contrer les attaques, appuyer la communication stratégique, renseigner ou faire de la déception, de façon autonome ou en combinaison avec d’autres opérations. La conquête, puis la maîtrise de la supériorité dans le champ informationnel sont devenues des conditions de la supériorité opérationnelle. La L2I dispose d’une chaine de commandement dédiée : le chef d’état-major des armées exerce le commandement des opérations militaires et il s’appuie sur le commandant de la cyberdéfense (COMCYBER) et sur des unités spécialisées : le Centre interarmées des actions sur l’environnement (CIAE) qui regroupe des acteurs français de l’influence militaire. Les ressources humaines et moyens techniques consacrés à la L2I sont concentrés en son sein, sous le contrôle opérationnel du COMCYBER. Le rôle de cette organisation est de limiter la propagation délibérée de fausses informations et d’informations biaisées à des fins délibérément hostiles.
Pour le domaine civil, le service en charge de la contre ingérence numérique est VIGINUM.
Le service de vigilance et protection contre les ingérences numériques étrangères, nommé VIGINUM et créé le 13 juillet 2021 est le service technique et opérationnel de l’État chargé de la vigilance et de la protection contre les ingérences numériques étrangères. Il répond à un défi majeur : préserver le débat public des manipulations de l’information provenant de l’étranger sur les plateformes numériques. Sa mission principale est de détecter et de caractériser des ingérences numériques étrangères affectant le débat public numérique en France. Pour ce faire, il étudie les phénomènes inauthentiques (comptes suspects, contenus malveillants, comportements anormaux, aberrants ou coordonnés) qui se manifestent sur les plateformes numériques. Il est constitué d’un collectif de spécialistes sélectionnés pour leur expertise en investigation et analyse numériques (OSINT), en marketing digital, en science de la donnée, en sciences politiques et géopolitique. La lutte contre la manipulation de l’information, à la confluence de la contre-ingérence étrangère et de la cyberdéfense, est également prise en charge par la DGSI qui assure cette mission en coopération étroite avec différents partenaires institutionnels. Il s’agit notamment d’autres services de renseignement et de VIGINUM.
Nous le voyons ici, malgré une prise en compte effective de la menace au niveau étatique, les organisations, notamment celles qui ne font pas partie des opérateurs vitaux ou essentiels, doivent prendre en compte par elles-mêmes cette menace. Bien entendu, toutes ne sont pas concernées au même niveau, et l’analyse de risque permettra de définir comment intégrer et gérer ce risque dans un contexte donné. Néanmoins, de plus en plus d’entreprises s’intéresse à ces aspects de leur protection. Ceci se constate à travers l’évolution de la demande autour de services ou de solutions permettant de réduire ce risque et d’aider à la prise en compte de cette menace. Bien que n’étant pas toujours définis comme étant spécifiquement dédiés à la sécurité informationnelle, ces solutions et services agissent dans trois domaines connexes : le renseignement centré sur l'adversaire, la protection de la marque et la gestion de la surface d'attaque externe. Cela montre bien que le champ d’intervention se situe dans le domaine sémantique et que la protection et les informations fournies portent sur le champ informationnel.
Les attaques informationnelles ne consistent pas uniquement en offensives diplomatiques ou en opérations de déstabilisation orchestrées et réalisées par des services de renseignement étrangers et ne sont pas uniquement dirigées contre les états et nos modèles sociétaux. Certaines plus terre à terre, ont des visées uniquement économiques. Des fausses notations aux rumeurs visant l'image d'une entreprise ou d'une marque elles peuvent visées tout type d'organisation et force est de constater qu'il n'est pas évident de s'en protéger et ce d'autant plus que cette menace n'a souvent pas été envisagée.
Cela tient tout naturellement de la constitution en couche du cyberespace : la couche physique véhicule les données sous forme binaire c’est-à-dire à ce niveau sous forme de variation de potentiel électrique, de fréquence, de puissance lumineuse ou de moyens physiques spécifiques à la technologie. Au niveau supérieur, le niveau logique nous pouvons parler de données, il s’agit de groupes d'indications plus ou moins ordonnés qui sont acheminés d’un point A à un point B. Si ces groupes peuvent contenir des informations importantes, elles sont plutôt considérées et traitées ici comme dénuées de sens propre et vue de manière unitaire. Le dernier niveau du cyberespace, la couche sémantique, elle, traite non plus des données mais des informations, ayant un sens et porteuses de messages. Cette couche sémantique est probablement celle qui est la moins prise en considération dans le domaine de la cybersécurité. Les approches de cyberdéfense cherchent essentiellement à protéger les données mais beaucoup plus rarement les informations. Les deux notions d’ailleurs ne sont pas exclusives mais bien complémentaires, difficile en effet de parler de sécurité de l’information si celle des données n’est pas assurée. De plus, il y a une certaine confusion à cause de l’emploi abusif des termes sécurité des données ou de l’information, ou encore sécurité de l’information et sécurité informationnelle. Ces termes ne sont pas équivalents. Il s’agit aussi ici de contexte culturel ou d’habitude, par exemple les québécois ne différencient pas au niveau du vocabulaire, la sécurité informationnelle de la sécurité de l'information, le formulaire officiel de déclaration d'incident de sécurité de l'information est considéré comme concernant la sécurité informationnelle. Néanmoins, en France, ces deux vocables ne sont pas équivalents. Pour nous la sécurité de l'information concerne les données, il s'agit plutôt d'une approche technique, le sens des données n'est pas ici au centre du sujet, alors que la sécurité informationnelle concerne le sens de l’information et son utilisation dans la sphère publique ou privée : rumeur, fausse nouvelle, désinformation, influence, orientation d’opinion….
Assez souvent, notamment dans les propositions de postes à pourvoir, les termes sécurité de l’information et sécurité informationnelle sont employés sans distinction. Or il s’agit de deux choses différentes. La sécurité de l’information concerne la protection au sens large des données brutes. La sécurité informationnelle a pour objet de protéger la structure contre la diffusion d’informations non désirées. Souvent, ces informations sont sorties du contexte, éloignées en temps, déformées, erronées voire construites de toute pièce (fake news). Pour autant cela a des conséquences, parfois graves, sur les organisations. Nous connaissons tous les phénomènes de rumeurs juste avant une OPA hostile. Il n’y a pas si longtemps, lors du retrait des forces française de la base de Gossi au Mali, l’armée française a subi une attaque informationnelle visant Barkhane. Les forces françaises ont été accusées d’avoir laissé un charnier derrière elles. Des vidéos prises par des moyens aériens permettent d’assister à la fabrication d’une infox orchestrée par la société Wagner, et relayée par des trolls russes sur les réseaux sociaux. Sans aller jusqu’à ces situations extrêmes, et si toutes les organisations ne seront pas ciblées par des attaques informationnelles d’ampleur, le risque informationnel existe et peut prendre bien des formes. Il peut s’agir par exemple de fausses notations sur les sites d’avis clients, certains restaurants ou hôtels en ont déjà fait les frais. Pour revenir au sujet général, la différence entre sécurité de l’information et sécurité informationnelle, il existe deux doctrines différentes en la matière. L’une consiste à considérer les deux comme un tout, la sécurité de l’information n’étant finalement qu’un sous-ensemble de la sécurité informationnelle qui ne traite que la protection des données brutes. L’autre séparant clairement les deux domaines. Elles mettent en œuvre des moyens de contrôle et d’action très différents. A mon sens le débat reste ouvert même si je suis d’accord sur le fait que les deux champs nécessitent des compétences, des moyens et des stratégies différentes. Nos sociétés reposent sur les informations et leur circulation, certains ont parlé du nouvel or noir que constituent les données. Dès lors il parait difficile d’assurer la protection des informations sans prendre en compte un minimum le champ sémantique et les stratégies d’influence associées.
En France, en tout cas au niveau de l’état, les deux concepts sont traités séparément. Nous pouvons considérer que la sécurité des données ou de l’information est du domaine de responsabilité de l’ANSSI et du GIP ACYMA alors que la sécurité informationnelle dispose de ces propres organisations.
En ce qui concerne le domaine militaire, la doctrine de lutte informatique d’influence (L2I) vient organiser et structurer le combat de l’information mené dans le cyberespace. La guerre de l’information au sein du cyberespace fait dorénavant partie intégrante de toute stratégie militaire. La lutte informatique d’influence désigne les opérations militaires conduites dans la couche informationnelle du cyberespace pour détecter, caractériser et contrer les attaques, appuyer la communication stratégique, renseigner ou faire de la déception, de façon autonome ou en combinaison avec d’autres opérations. La conquête, puis la maîtrise de la supériorité dans le champ informationnel sont devenues des conditions de la supériorité opérationnelle. La L2I dispose d’une chaine de commandement dédiée : le chef d’état-major des armées exerce le commandement des opérations militaires et il s’appuie sur le commandant de la cyberdéfense (COMCYBER) et sur des unités spécialisées : le Centre interarmées des actions sur l’environnement (CIAE) qui regroupe des acteurs français de l’influence militaire. Les ressources humaines et moyens techniques consacrés à la L2I sont concentrés en son sein, sous le contrôle opérationnel du COMCYBER. Le rôle de cette organisation est de limiter la propagation délibérée de fausses informations et d’informations biaisées à des fins délibérément hostiles.
Pour le domaine civil, le service en charge de la contre ingérence numérique est VIGINUM.
Le service de vigilance et protection contre les ingérences numériques étrangères, nommé VIGINUM et créé le 13 juillet 2021 est le service technique et opérationnel de l’État chargé de la vigilance et de la protection contre les ingérences numériques étrangères. Il répond à un défi majeur : préserver le débat public des manipulations de l’information provenant de l’étranger sur les plateformes numériques. Sa mission principale est de détecter et de caractériser des ingérences numériques étrangères affectant le débat public numérique en France. Pour ce faire, il étudie les phénomènes inauthentiques (comptes suspects, contenus malveillants, comportements anormaux, aberrants ou coordonnés) qui se manifestent sur les plateformes numériques. Il est constitué d’un collectif de spécialistes sélectionnés pour leur expertise en investigation et analyse numériques (OSINT), en marketing digital, en science de la donnée, en sciences politiques et géopolitique. La lutte contre la manipulation de l’information, à la confluence de la contre-ingérence étrangère et de la cyberdéfense, est également prise en charge par la DGSI qui assure cette mission en coopération étroite avec différents partenaires institutionnels. Il s’agit notamment d’autres services de renseignement et de VIGINUM.
Nous le voyons ici, malgré une prise en compte effective de la menace au niveau étatique, les organisations, notamment celles qui ne font pas partie des opérateurs vitaux ou essentiels, doivent prendre en compte par elles-mêmes cette menace. Bien entendu, toutes ne sont pas concernées au même niveau, et l’analyse de risque permettra de définir comment intégrer et gérer ce risque dans un contexte donné. Néanmoins, de plus en plus d’entreprises s’intéresse à ces aspects de leur protection. Ceci se constate à travers l’évolution de la demande autour de services ou de solutions permettant de réduire ce risque et d’aider à la prise en compte de cette menace. Bien que n’étant pas toujours définis comme étant spécifiquement dédiés à la sécurité informationnelle, ces solutions et services agissent dans trois domaines connexes : le renseignement centré sur l'adversaire, la protection de la marque et la gestion de la surface d'attaque externe. Cela montre bien que le champ d’intervention se situe dans le domaine sémantique et que la protection et les informations fournies portent sur le champ informationnel.
Les attaques informationnelles ne consistent pas uniquement en offensives diplomatiques ou en opérations de déstabilisation orchestrées et réalisées par des services de renseignement étrangers et ne sont pas uniquement dirigées contre les états et nos modèles sociétaux. Certaines plus terre à terre, ont des visées uniquement économiques. Des fausses notations aux rumeurs visant l'image d'une entreprise ou d'une marque elles peuvent visées tout type d'organisation et force est de constater qu'il n'est pas évident de s'en protéger et ce d'autant plus que cette menace n'a souvent pas été envisagée.