En matière de sécurité informatique, les menaces et besoins de chacun·e diffèrent grandement selon les situations. Un outil numérique indispensable dans certains cas peut s’avérer dangereux dans d’autres. Voici une méthode et un modèle de document que nous vous proposons d’utiliser pour faire le point sur ces questions !
Afin de limiter efficacement les risques dans le domaine de la sécurité informatique, il est indispensable de commencer par identifier les données que l’on souhaite protéger, et de quoi ou qui, en fonction de sa situation. En d’autres termes, il s’agit d’établir son modèle de menaces, en listant les données importantes ou sensibles pour soi et en réfléchissant aux dangers potentiels.
La suite du travail consiste à analyser les risques identifiés. Tous n’ont pas la même probabilité de se réaliser, ni n’auraient des conséquences de même gravité. En estimant ces 2 critères, il devient facile de faire le tri entre les risques à prendre au sérieux rapidement et ceux dont il n’est pas vraiment nécessaire de se soucier.
Grâce à cette cartographie, il est ensuite possible d’envisager les actions à mener pour se prémunir des risques que l’on juge en valoir la peine. Cette fois, c’est l’efficacité et la complexité de la réalisation de chaque piste de solution qu’il faudra estimer, qu’elle soit de nature technique ou autre. À cette étape, il est particulièrement important d’adopter une approche holistique de la sécurité informatique et de prendre en compte l’ensemble des éléments de la situation donnée :
- l’intégrité des équipements et la protection physique des lieux,
- la sensibilisation et la formation des personnes concernées,
- le choix et la configuration des outils,
- le bien être des personnes concernées et leur acceptation sociale des outils et pratiques,
- les mesures techniques et organisationnelles,
- …
Certaines idées présenteront plus d’inconvénients que d’avantages – ou pourraient même empirer la situation – tandis que d’autres se révéleront particulièrement simples et adaptées. Dans certains cas, les risques s’avéreront trop complexes ou coûteux à traiter, et ne pourront qu’être acceptés. Mais même sans solution immédiate, avoir conscience du danger reste primordiale !
Enfin, il ne restera plus qu’à choisir et planifier les actions à réaliser, puis à revenir sur ce travail de temps en temps pour vérifier qu’il ne nécessite pas d’être adapté à de nouveaux besoins et contextes.
Pour en apprendre davantage sur la réalisation d’un plan de sécurité, nous vous recommandons le petit guide publié par l’Electronic Frontier Foundation (EFF), une organisation de protection des droits et libertés dans l’environnement numérique. Et pour la mise en pratique, nous vous proposons le document suivant :
Si vous souhaitez utiliser ce document, que ce soit dans un cadre personnel ou autre – par exemple dans le cadre de travaux de mise en conformité au RGPD – vous pouvez le télécharger en version .pdf. Il est publié sous licence Creative Commons BY-SA : cela signifie que vous pouvez le modifier et le partager comme bon vous semble, à condition d’utiliser une licence similaire pour les éventuels nouveaux contenus et de mentionner La Boussole dans ce cas.
Publié sur le site de la coopérative de formation et de recherche La Boussole.