This is the Trace Id: dfa65f6ad60f94234f73d57d456dacfd
Passer directement au contenu principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Voir tous les produits Cybersécurité basée sur l’IA Sécurité du cloud Sécurité et gouvernance des données Identité et accès réseau Gestion des risques et de la confidentialité Sécurité pour l’IA PME SecOps unifiées Confiance Zéro Tarifs Services Partenaires Pourquoi Sécurité Microsoft Sensibilisation à la cybersécurité Témoignages de clients Sécurité 101 Essais de produits Distinctions Microsoft Security Insider Rapport Microsoft Digital Defense Centre de réponse aux problèmes de sécurité Blog Sécurité Microsoft Événements Microsoft en lien avec la sécurité Communauté technique Microsoft Documentation Bibliothèque de contenu technique Formation et certifications Programme de conformité pour Microsoft Cloud Centre de gestion de la confidentialité Microsoft Portail d’approbation de services Microsoft Initiative pour un avenir sûr Business Solutions Hub Contacter le service commercial Démarrer un essai gratuit Sécurité Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Réalité mixte Microsoft HoloLens Microsoft Viva Informatique quantique Éducation Automobile Services financiers Secteur public Santé Industrie Vente au détail Trouver un partenaire Devenir partenaire Réseau de partenaires Microsoft Marketplace Entreprises de logiciels Blog Microsoft Advertising Centre pour les développeurs Documentation Événements Licences Microsoft Learn Microsoft Research Vue plan de site
Obtenir le rapport
Des collaborateurs examinent du contenu sur un écran d’ordinateur de bureau

Qu’est-ce que la sécurité de l’information (InfoSec) ?

Protégez les informations sensibles sur les clouds, les applications et les terminaux.
Découvrez la protection InfoSec

Sécurité des informations (InfoSec) définie

La sécurité des informations, souvent abrégée (InfoSec), regroupe un ensemble de procédures et d’outils de sécurité qui protègent largement les informations sensibles de l’entreprise contre une utilisation abusive, un accès non autorisé, une perturbation ou une destruction. InfoSec englobe la sécurité physique et environnementale, le contrôle d'accès et la cybersécurité. Elle inclut souvent des technologies telles que les brokers de sécurité d’accès au cloud (CASB), les outils de diversion, la PEPT et les tests de sécurité pour DevOps (DevSecOps), entre autres.

Éléments clés relatifs à la sécurité des informations

InfoSec englobe une gamme d’outils, de solutions et de processus de sécurité qui assurent la sécurité des informations de l’entreprise sur l’ensemble des appareils et des emplacements, contribuant ainsi à les protéger contre les cyberattaques et autres événements perturbateurs.

Sécurité des applications

Stratégies, procédures, outils et meilleures pratiques adoptés pour protéger les applications et leurs données.

Réponse aux incidents

Plan d’une organisation pour répondre, remédier et gérer les conséquences d’une cyberattaque, d’une violation de données ou d’un autre événement perturbateur.

Sécurité du cloud

Stratégies, procédures, outils et meilleures pratiques adoptées pour protéger tous les aspects du cloud, y compris les systèmes, les données, les applications et l’infrastructure.

Sécurité du cloud

Sécurité de l’infrastructure

Sécurité englobant l’ensemble de l’infrastructure technologique d’une entreprise, y compris les systèmes matériels et logiciels.

Chiffrement

Méthode de sécurisation des communications basée sur des algorithmes, destinée à garantir que seuls les destinataires d'un message spécifique peuvent le voir et le déchiffrer.

Gestion des vulnérabilités

Processus que suit une entreprise pour identifier, évaluer et corriger les vulnérabilités de ses points de terminaison, logiciels et systèmes.

Récupération d’urgence

Méthode permettant de rétablir des systèmes technologiques fonctionnels suite à un événement tel qu’une catastrophe naturelle, une cyberattaque ou un autre événement perturbateur.

Les trois piliers de la sécurité des informations : la triade du CIA

La confidentialité, l’intégrité et la disponibilité constituent les pierres angulaires d’une protection des données renforcée, créant ainsi la base de l’infrastructure de sécurité d’une entreprise. La triade propose ces trois concepts comme principes directeurs pour la mise en œuvre d'un plan InfoSec.
 

Confidentialité


La protection des données personnelles est une composante majeure d’InfoSec, et les organisations doivent adopter des mesures permettant aux seuls utilisateurs autorisés d’accéder aux informations. Le chiffrement des données, l’authentification multifacteur et la protection contre la perte de données sont quelques-uns des outils que les entreprises peuvent utiliser pour garantir la confidentialité des données.
 

Intégrité


Les entreprises doivent maintenir l'intégrité des données tout au long de leur cycle de vie. Les entreprises dotées d'InfoSec reconnaîtront l'importance de données précises et fiables, et ne permettront à aucun utilisateur non autorisé d'y accéder, de les modifier ou d'interférer de quelque manière que ce soit. Des outils tels que les autorisations sur les fichiers, la gestion des identités et les contrôles d'accès des utilisateurs contribuent à garantir l'intégrité des données.
 

Disponibilité


InfoSec implique une maintenance constante du matériel physique et des mises à niveau régulières du système afin de veiller à ce que les utilisateurs autorisés disposent d’un accès fiable et cohérent aux données dont ils ont besoin.

Informations courantes sur les menaces de sécurité

Attaque liée à une menace avancée persistante (APT) :

Cyberattaque sophistiquée se déroulant sur une période prolongée, au cours de laquelle un attaquant (ou un groupe) non détecté accède au réseau et aux données d'une entreprise.

Botnet :

Dérivé du terme « réseau de robots », un botnet est un réseau d’appareils connectés qu’un pirate infecte avec un code malveillant et contrôle à distance.

Attaque par déni de service distribué (DDoS) :

Les attaques DDoS utilisent des botnets pour submerger le site web ou l'application d'une organisation, ce qui entraîne un incident ou un déni de service pour les utilisateurs ou visiteurs valides.

Attaque par téléchargement furtif :

Morceau de code malveillant qui se télécharge automatiquement sur l'appareil d'un utilisateur lors de la visite d'un site web, rendant cet utilisateur vulnérable à d'autres menaces de sécurité.

Kit d’exploit (code malveillant exploitant une faille de sécurité) :

Ensemble complet d'outils qui utilisent des exploits pour détecter les vulnérabilités et infecter les appareils avec des logiciels malveillants.

Menaces internes :

Possibilité qu'une personne interne à l'organisation exploite un accès autorisé, intentionnellement ou non, et endommage ou rende vulnérables les systèmes, réseaux et données de l'organisation.

Attaque de l’intercepteur (MitM) :

Un attaquant interrompt une ligne de communication ou un transfert de données, en se faisant passer pour un(e) utilisateur(-trice) valide, afin de voler des informations ou des données.

Attaques par hameçonnage :

Les attaques par hameçonnage usurpent l'identité d’entreprise ou d'utilisateurs légitimes afin de dérober des informations par e-mail, SMS ou autres méthodes de communication.

Rançongiciel :

Attaque d'extorsion perpétrée par un logiciel malveillant qui crypte les informations d'une organisation ou d'une personne et en empêche l'accès jusqu'au paiement d'une rançon.

Piratage psychologique :

Cyberattaques découlant d’une interaction humaine au cours desquelles un attaquant gagne la confiance d'une victime par le biais d'un appât, d'un alarmiciel ou d'un hameçonnage, recueille des informations personnelles et les utilise pour perpétrer une attaque.

Attaques sur les réseaux sociaux :

Cyberattaques ciblant les plateformes de médias sociaux et les exploitant comme mécanismes de diffusion ou volant les informations et les données des utilisateurs.

Virus et vers informatiques :
 

Logiciel malveillant et non détecté capable de s’auto-répliquer sur le réseau ou le système d’un(e) utilisateur(-trice).

Technologies utilisées pour la sécurité de l’information

Brokers de sécurité d’accès au cloud (CASB)

Points d’application des stratégies de sécurité placés entre les utilisateurs de l’entreprise et les fournisseurs de services cloud combinant plusieurs stratégies de sécurité différentes, de l’authentification et du mappage des Informations d’identification au chiffrement, en passant par la détection des logiciels malveillants, etc. Les CASB fonctionnent sur des applications autorisées et non autorisées, ainsi que sur des appareils gérés et non gérés.

Protection contre la perte de données

La protection contre la perte de données (DLP) englobe les stratégies, les procédures, les outils et les meilleures pratiques adoptés pour prévenir la perte ou l'utilisation abusive de données sensibles. Parmi les principaux outils figurent le chiffrement, ou la transformation d'un texte en clair en texte chiffré par le biais d'un algorithme, et la segmentation du texte en unités lexicales, ou l'attribution d'un ensemble de nombres aléatoires à un élément de données et l'utilisation d'une base de données de coffre de jetons pour stocker la relation.

Protection évolutive des points de terminaison (PEPT)

La protection évolutive des points de terminaison est une solution de sécurité qui utilise un ensemble d'outils pour détecter, examiner et répondre aux menaces liées aux points de terminaison.

Microsegmentation

La microsegmentation divise les centres de données en plusieurs zones ou segments granulaires et sécurisés, ce qui permet d'atténuer les niveaux de risque.

Test de sécurité pour DevOps (DevSecOps)

DevSecOps est le processus d’intégration des mesures de sécurité à chaque étape du processus de développement, ce qui permet d’aller plus vite et d'offrir des processus de sécurité renforcés et plus proactifs.

Analyse comportementale des utilisateurs et des entités (UEBA)
 

L’UEBA est le processus d’observation du comportement type de l’utilisateur(-trice) et de détection des actions qui s’écartent des limites normales, ce qui aide les entreprises à identifier les menaces potentielles.

La sécurité de l’information et votre entreprise

Les entreprises peuvent utiliser des systèmes de gestion de la sécurité des informations pour normaliser les contrôles de sécurité au sein de l'organisation, en établissant des normes personnalisées ou sectorielles à des fins d’InfoSec et de gestion des risques. L’adoption d’une approche systématique en matière d’InfoSec contribue à protéger de manière proactive votre entreprise contre les risques inutiles et à permettre à votre équipe de remédier efficacement aux menaces dès qu’elles se présentent.


Répondre aux menaces liées à la sécurité de l’information

Une fois que votre équipe en charge de la sécurité a été modifiée pour faire face à une menace InfoSec, procédez comme suit :
 
  • Réunissez votre équipe et consultez votre plan de réponse aux incidents.
  • Identifiez la source de la menace.
  • Prenez des mesures pour contenir et remédier à la menace.
  • Évaluez les dommages éventuels.
  • Notifiez les parties concernées.
Ressources

En savoir plus sur la sécurité Microsoft

  1.
Une personne utilisant un ordinateur portable à l’intérieur, sous un éclairage chaleureux

Sécurité Microsoft

Une approche complète de la sécurité.
Consultez d’autres ressources
Personne utilisant une tablette sur un canapé.

Protection et gouvernance des données

Protégez les données sensibles sur les services cloud, les applications et les points de terminaison.
En savoir plus
Personne dans un bureau travaillant sur un ordinateur de bureau.

Protection des données Microsoft Purview

Découvrez, classez et protégez les informations sensibles au repos ou en transit.
En savoir plus
Personne travaillant sur un ordinateur portable à l’intérieur, avec de la végétation en arrière-plan.

Blog sur la protection des données

Apprenez-en plus sur les mises à jour de fonctionnalités ainsi que les nouvelles fonctionnalités en matière de protection des données dans les blogs les plus récents.
En savoir plus
Revenir à la section Produits associés
FAQ

Forum aux questions

  • La cybersécurité relève du cadre plus large d’InfoSec. Alors qu’InfoSec englobe un large éventail de domaines et de référentiels d’informations, y compris les appareils physiques et les serveurs, la cybersécurité fait uniquement référence à la sécurité technologique.
  • InfoSec fait référence aux mesures, outils, processus et meilleures pratiques de sécurité qu’une entreprise adopte pour protéger les informations contre les menaces. La confidentialité des données, quant à elle, fait référence aux droits d’une personne à contrôler et à consentir à la manière dont ses données et informations personnelles sont traitées ou utilisées par l’entreprise.
  • La gestion de la sécurité de l’information décrit l’ensemble des stratégies, outils et procédures qu’une entreprise utilise pour protéger les informations et les données contre les menaces et les attaques.
  • Un système de gestion de la sécurité des informations est un système centralisé qui aide les entreprises à rassembler, réviser et améliorer leurs stratégies et procédures en matière d’InfoSec, à atténuer les risques et à contribuer à la gestion de la conformité.
  • Les entités indépendantes que sont l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont élaboré un ensemble de normes sur InfoSec afin d’aider les entreprises de nombreux secteurs à mettre en œuvre des stratégies InfoSec efficaces. ISO 27001 propose spécifiquement des normes pour la mise en œuvre d’InfoSec et d’un système de gestion correspondant.

Suivez la Sécurité Microsoft

Surface Pro Surface Laptop Copilot pour les organisations Copilot pour une utilisation personnelle Microsoft 365 Découvrir les produits Microsoft Applications Windows 11 Profil du compte Centre de téléchargement Support du Microsoft Store Retours Suivi des commandes Recycler Garanties Microsoft Éducation Appareils pour l’enseignement Microsoft Teams pour l’éducation Microsoft 365 Éducation Office Éducation Formation et développement des enseignants Offres pour étudiants et parents Azure pour les étudiants
Microsoft AI Sécurité Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Développeur Microsoft Microsoft Learn Prise en charge des applications du marketplace d’IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Entreprises de logiciels Visual Studio Emploi Actualités de la société Confidentialité chez Microsoft Investisseurs
Français (Suisse) Confidentialité de l’intégrité des consommateurs Contacter Microsoft Confidentialité Gérer les cookies Conditions d'utilisation Marques À propos de nos annonces