Petit aide-mémoire « vocabulaire » pour les gens que j’ai pris l’habitude de rencontrer au mois de mai.
Glossaire ANSSI
Cyber à toutes les sauces, mais que met-on vraiment dedans ?
Point de passage / lecture obligé : le glossaire de l’Agence.
« Le cyberespace est un espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques. » (cf Charles Préaux dans DSI Hors série n°32 de novembre 2013).
Particularités du cyberespace :
– espace déterritorialisé,
– principe d’ubiquité,
– quasi instantanéité des actions,
– substitution des acteurs,
– virtualité de la matière.
La définition du cyberespace proposée par le Centre Interarmée de Concepts, de Doctrines et d’Expérimentations (CICDE) est la suivante : « un domaine global constitué du réseau maillé des infrastructures des technologies de l’information, des réseaux de télécommunication, des systèmes informatiques, des processeurs et des mécanismes de contrôle intégré ». Définition autrefois disponible dans un doc DIA Non Protégé qui n’est aujourd’hui plus accessible sur le site du CICDE.
Pour le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) la cyberdéfense est constituée de « l’ensemble des mesures techniques et non techniques permettant à un état de défendre dans le cyberespace les systèmes d’information jugés essentiels ».
Pour le Ministère de la Défense, la cyberdéfense recouvre « l’ensemble des activités qu’il conduit afin d’intervenir militairement ou non dans le cyberespace pour garantir l’efficacité de l’action des forces armées, la réalisation des missions confiées et le bon fonctionnement du ministère ».
La cybersécurité est l’état recherché pour un système d’information lui permettant de résister à des évènements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
Pour Wikipedia, « Le mot cybersécurité est un néologisme désignant l’ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des états et des organisations (avec un objectif de disponibilité, intégrité & authenticité, confidentialité, preuve & non-répudiation) »
La cybercriminalité désigne les actes contrevenant aux traités internationaux ou lois nationales, utilisant les réseaux ou les systèmes d’information comme moyen de réalisation d’un délit ou d’un crime ou les ayant pour cibles.
Ce dernier terme apparu fin XXème siècle à l’époque de la mode des mots en « …tique » concerne l’étude des processus de contrôle et de communication chez l’être vivant et la machine.
Bref, c’est plus clair ? On compare avec la plus traditionnelle Sécurité des Systèmes d’Information ?
Selon la Bible Wikipedia, « la sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d’information. Assurer la sécurité du système d’information est une activité du management du système d’information.
Aujourd’hui, la sécurité est un enjeu majeur pour les entreprises ainsi que pour l’ensemble des acteurs qui l’entourent. Elle n’est plus confinée uniquement au rôle de l’informaticien. Sa finalité sur le long terme est de maintenir la confiance des utilisateurs et des clients. La finalité sur le moyen terme est la cohérence de l’ensemble du système d’information. Sur le court terme, l’objectif est que chacun ait accès aux informations dont il a besoin. La norme traitant des SMSI est l’ISO/CEI 27001 qui insiste sur Confidentiality – Integrity – Availability, soit en français Disponibilité – Intégrité – Confidentialité. »
So… buzzwords et bullshitteries, subtilité ou nuance fondamentale ?
On pourrait donc envisager la cybersécurité comme un ensemble englobant la SSI et s’appliquant à un cadre plus large de systèmes (au delà du système d’information).
Un indice, depuis une douzaine de mois, à l’ANSSI, des voix de premier rang n’évoquent plus que la SecNum / Sécurité du numérique. Au delà des éléments de langage et des guéguerres de « spécialistes » (bisous Charlie) et autres experts autoproclamés sur Twitter (aka cyberblablatteurs), le grand chantier de la sécurisation de nos infrastructures/systèmes/applications reste un Vaste programme ! Et vous ne couperez pas à la lecture de ce classique : « Stratégie Nationale pour la Sécurite du Numérique« .
Stratégie Nationale pour la sécurité du numérique
Autres ressources associée : les Hors-Séries 32 et 52 de la revue DSI.
DSI HS52_2017
DSI HS32_2013
Ce qui se conçoit bien s’énonce clairement – Et les mots pour le dire arrivent aisément.
L’Art poétique (1674) – Nicolas Boileau-Despréaux
