La sécurité est une discipline, un ensemble de compétences et d'approches conçues et apprises pour identifier les menaces et atténuer leur impact sur les actifs. La cybersécurité concerne les systèmes et réseaux techniques qui alimentent notre monde moderne, tandis que la sécurité de l'information concerne le concept plus abstrait d'information, où qu'elle se trouve.
Si vous avez été impliqué dans la sécurité, vous avez rencontré des personnes utilisant la cybersécurité et la sécurité des informationsindifféremment, et d'autres prétendant (fortement et passionnément) qu'ils sont complètement distincts. Dans un style typique, je dirais qu'ils ont tous les deux tort.
Étant donné que nous traitons de domaines qui comptent beaucoup, car les gens sont mis en danger par une mauvaise compréhension de la sécurité, quelle est la différence ?
Il y a beaucoup de points de vue différents ici, donc si je piétine votre préféré, souvenez-vous que ce n'est rien de personnel. Je vais me tourner vers des définitions académiques claires plutôt que vers le marketing, car ces choses sont vraiment importantes.
Disciplines et domaine
La première chose que nous devons couvrir est la différence entre une discipline et un domaine. Cela peut devenir compliqué, donc je vais supprimer tous les détails inutiles. Différentes définitions existent, mais celles-ci sont les plus utiles pour ce dont nous parlons.
Discipline : une approche, un ensemble de connaissances et de compétences qui peuvent être appliquées à différents environnements pour comprendre et interagir. Un exemple de discipline pourrait être la biologie, la physique ou la médecine.
Domaine : un environnement ou une zone, selon la définition militaire, ce sont des théâtres d'opérations distincts. Un exemple de domaine plus académique pourrait être les océans, tandis que le sol militaire et le cyber sont deux des domaines généralement reconnus.
La sécurité elle-même est une discipline, un ensemble de compétences et d'approches conçues et apprises pour identifier les menaces et atténuer leur impact sur les actifs. En fin de compte, quel que soit le type de sécurité dont nous parlons, les menaces seront toujours les personnes, et les actifs seront plus de personnes. Il peut y avoir des outils et des technologies intermédiaires, mais la sécurité concerne les personnes. Si nous étions préoccupés par les menaces environnementales, nous l'appellerions plutôt sécurité.
Si nous prenons la sécurité comme une discipline, cela signifie que la cybersécurité est cette discipline appliquée au cyberdomaine. La sécurité de l'information est la même discipline appliquée au domaine de l'information. Si nous voulons une métaphore pratique, nous pouvons comparer la discipline, les connaissances et les compétences en matière de sécurité, à la boîte à outils standard. Si nous nous en tenons à la métaphore (et que nous l'étirons jusqu'au point de rupture), le domaine pourrait être la différence entre l'approche d'un travail électrique ou la plomberie.
Il y a clairement une différence entre être plombier ou électricien, mais les deux types de tâches peuvent être accomplies par un amateur qualifié (sans garantie de sécurité ou de succès bien sûr). Et les outils pour les deux se chevauchent à 90 %, seuls quelques outils spécialisés faisant la différence.
Qu'est-ce que le domaine de l'information ?
Le domaine de l'information est vaste.
Vraiment gros.
Et vieux.
Pour être précis, les premiers exemples connus de sécurité de l'information remontent à plus de quatre mille ans, aux contrats sumériens écrits puis enfermés dans une enveloppe d'argile (avec une autre copie du contrat écrite dessus) pour maintenir l'intégrité de l'information.
Quelques centaines d'années plus tard, nous avons le chapitre 12 du Livre des Juges qui nous raconte la première utilisation (connue) d'un mot de passe pour identifier des personnes, dans une histoire qui nous donne encore le terme shibboleth aujourd'hui.
Un autre exemple, il y a à peine des siècles, était les bibliothèques enchaînées du Moyen Âge qui n'étaient pas conçues pour protéger la confidentialité, comme on pouvait s'y attendre, mais la disponibilité - les livres étaient des cibles tentantes pour les voleurs, donc s'assurer qu'ils étaient disponibles dans la bibliothèque impliquait de lourdes chaînes .
De nos jours, la technologie étant aussi répandue qu'elle l'est, la sécurité de l'information est souvent confondue avec l'aspect technologique, mais il est important de reconnaître que si nous envisageons correctement la sécurité de l'information, elle s'applique à toutes les informations, pas seulement à ce que nous stockons quelque part sur un ordinateur.
La lentille standard à travers laquelle les gens regardent la sécurité de l'information est la triade de la CIA - et bien qu'elle ait certainement ses défauts, elle est largement reconnue et bien établie, donc je m'en tiendrai à elle. Dans ce cas, la CIA établit des normes pour trois attributs que la sécurité de l'information est conçue pour protéger :
Confidentialité : les informations ne doivent être accessibles qu'aux personnes autorisées à y accéder
Intégrité : les informations ne doivent pas être altérées par des tiers non autorisés
Disponibilité : les informations doivent être disponibles en cas de besoin
D'autres modèles existent, mais quiconque a travaillé dans le domaine de la sécurité de l'information connaîtra par cœur la triade de la CIA - elle est pratiquement tatouée dans notre cerveau par répétition à ce stade.
Qu'est-ce que le Cyber Domaine ?
Nous avons donc des informations, qu'en est-il du côté cyber ?
La belle définition propre et académique parle d'« un domaine de traitement électronique de l'information comprenant une ou plusieurs infrastructures de technologie de l'information ». La clé ici est l'élément technologique, donc le cyberdomaine parle de technologie (et nous allons supposer une technologie basée sur l'électronique, plutôt que des tablettes d'argile sumériennes) traitant l'information.
Cela signifie en grande partie que la cybersécurité est un sous-ensemble de la sécurité de l'information, mais cela devient un peu flou à la périphérie car cette même technologie peut également être fonctionnelle - que ce soit en termes industriels ou même de choses comme le contrôle d'accès. Pour rester simple, nous pouvons dire que le cyberdomaine concerne la technologie qui peut être connectée à d'autres technologies liées au domaine de l'information.
Le problème est que nous avons besoin de quelque chose de plus que la triade de la CIA comme lentille pour regarder ce monde. La confidentialité, l'intégrité et la disponibilité sont un peu plus distantes que nécessaire si nous parlons au niveau technologique. Lorsque nous entrons dans la technologie, nous devons traiter d'idées plus détaillées, plus concrètes que lorsque nous traitons du domaine de l'information.
Jusqu'à présent, il n'y a pas vraiment d'objectif adapté qui ait été développé. Il y a un argument pour le , qui ajoute les éléments de possession/contrôle, d'utilisabilité et d'authenticité à la triade, mais ils sont toujours étroitement liés au niveau conceptuel de l'information. Au lieu de cela, la cybersécurité est à la fois une mise en œuvre plus concrète de la discipline de sécurité dans le domaine et plus difficile à définir en raison du nombre considérable de pièces mobiles et de la complexité impliquée.
En fin de compte, vous pouvez probablement utiliser les termes de manière interchangeable, car presque tout le monde le fait. Si vous voulez approfondir la théorie, il est important de reconnaître qu'il existe un chevauchement important entre la cybersécurité et la sécurité de l'information, mais ce n'est pas la même chose.
Au lieu de cela, la cybersécurité s'appuie fortement sur la mise en œuvre technique de la sécurité de l'information au sein des systèmes technologiques, tandis que la sécurité de l'information est une mise en œuvre plus conceptuelle.
La différence entre la cybersécurité et la sécurité de l'information est-elle importante ?
Beaucoup de gens diront que la différence n'est pas pertinente, et ils n'ont pas complètement tort. Cela vaut la peine d'être conscient et reconnu, car la sécurité est vraiment importante. Selon le domaine spécifique dans lequel vous travaillez, il ne serait pas exagéré d'appeler cela une question de vie ou de mort.
Si vous travaillez uniquement dans le domaine de la cybersécurité, de la sécurité de l'information ou même dans un domaine différent comme la sécurité physique, c'est bien de le faire - mais être conscient de l'existence d'autres domaines et de la façon dont ils interagissent avec le vôtre est absolument vital. ce qui compte vraiment en matière de sécurité - protéger les actifs (les personnes) des menaces (également les personnes, parfois les mêmes).
Maîtrisez votre domaine et reconnaissez où vous avez des lacunes qui nécessitent des maîtres des autres domaines. Le côté cyber ne fera que devenir plus complexe et interagir avec plus de domaines, à mesure que nous entrons dans leavenir .
