Trois termes. Trois budgets. Trois conversations différentes autour de la table de direction, sauf que la plupart du temps, tout le monde pense parler de la même chose.

Votre VP TI vous parle de cybersécurité. Votre auditeur vous parle de sécurité de l'information. Votre fournisseur vous parle de sécurité informatique. Vous hochez la tête en vous disant que c'est probablement la même affaire avec des mots différents.

Ce n'est pas la même affaire. Et la confusion a un coût réel, surtout quand vient le temps de bâtir un programme de sécurité, d'embaucher les bonnes ressources ou de répondre aux exigences de la Loi 25.

Clarifions ça une fois pour toutes.

Trois concepts, trois portées

Imaginez trois cercles concentriques, des poupées russes. La plus grande contient les deux autres. La plus petite est à l'intérieur de tout.

La sécurité de l'information est la grande poupée. C'est la protection de toute l'information de votre organisation, qu'elle soit numérique, imprimée, verbale ou griffonnée sur un Post-it. On parle ici de politiques, de gouvernance, de classification des données, de formation des employés, de gestion des accès logiques et physiques. C'est la discipline la plus large des trois. Dans le jargon du métier, on l'appelle InfoSec.

La sécurité de l'information ne commence pas avec la technologie. Elle commence avec une question : quelle information a de la valeur pour nous, et qui devrait y avoir accès?

La cybersécurité est la poupée du milieu. C'est la protection des systèmes, des réseaux et des données dans l'espace numérique, le « cyberespace ». Attaques par rançongiciel, hameçonnage, détection d'intrusions, réponse aux incidents. C'est le terme que les médias utilisent le plus, celui que le public connaît le mieux. Mais ce n'est qu'un sous-ensemble de la sécurité de l'information : il couvre le numérique, pas le physique ni la gouvernance globale.

La sécurité informatique (IT Security) est la plus petite poupée. C'est la protection de l'infrastructure technologique elle-même : serveurs, postes de travail, pare-feu, réseau, systèmes d'exploitation, mises à jour. C'est le domaine le plus technique des trois. Quand votre équipe TI parle de « patcher un serveur » ou de « configurer le pare-feu », c'est de la sécurité informatique.

Résumons :

Discipline	Portée	Exemples concrets
Sécurité de l'information	Toute l'information : numérique, physique, verbale	Politique de classification, formation des employés, contrôle des accès physiques, gouvernance
Cybersécurité	L'espace numérique : systèmes, réseaux, données	Détection d'intrusion, réponse aux rançongiciels, surveillance des menaces, hameçonnage
Sécurité informatique	L'infrastructure TI : matériel, logiciel, réseau	Mises à jour de sécurité, configuration des pare-feu, durcissement des serveurs

En pratique, la frontière entre cybersécurité et sécurité informatique n'est pas aussi nette que le modèle le suggère : les deux se chevauchent largement. La sécurité informatique inclut des éléments qui ne sont pas « cyber » (la sécurité physique d'une salle serveur, par exemple), et la cybersécurité couvre des réalités qui dépassent l'infrastructure TI classique (le renseignement sur les menaces, les systèmes industriels, l'Internet des objets). Ce qui compte vraiment, c'est de comprendre que la sécurité de l'information englobe les deux et y ajoute la couche qui manque le plus souvent dans les PME : la gouvernance.

Des situations que vous reconnaîtrez

Mettons ça en contexte avec des situations réelles. Chacune relève d'une discipline différente et exige des compétences différentes.

Un employé laisse un dossier confidentiel sur l'imprimante partagée. Personne ne sait qui l'a pris. Aucune politique ne précise comment manipuler les documents sensibles en format papier. C'est un problème de sécurité de l'information. Pas de technologie ici, mais un risque bien réel.

Votre contrôleuse reçoit un courriel qui semble venir du président, lui demandant un virement urgent de 47 000 $. Le courriel a passé tous les filtres. C'est une attaque de cybersécurité, un stratagème numérique sophistiqué qui exploite la confiance humaine à travers un canal technologique.

Un serveur critique n'a pas reçu ses mises à jour de sécurité depuis huit mois parce que « personne n'a eu le temps ». Un balayage de vulnérabilités révèle trois failles connues, dont une activement exploitée. On est ici en pleine sécurité informatique, de la maintenance technique de base qui a été négligée.

Votre organisation adopte une politique de classification des données qui définit ce qui est confidentiel, interne ou public, et qui peut y accéder dans quelles circonstances. C'est de la sécurité de l'information dans sa forme la plus stratégique : le cadre qui dicte tout le reste.

Votre équipe TI déploie un système de détection d'intrusions qui surveille le trafic réseau en temps réel et déclenche une alerte quand un comportement anormal est détecté. C'est de la cybersécurité opérationnelle : la capacité de voir ce qui se passe et de réagir.

Vous remarquez un patron : les problèmes de sécurité de l'information sont souvent des problèmes de processus et de décisions. Les problèmes de cybersécurité impliquent des adversaires et des menaces. Les problèmes de sécurité informatique sont des problèmes d'infrastructure et de configuration.

Les trois sont nécessaires. Aucun ne remplace les autres.

Pourquoi cette distinction change tout pour votre organisation

La confusion entre ces trois concepts mène à un piège classique.

Le piège de la sécurité informatique seule. Votre équipe TI fait un travail consciencieux : pare-feu configuré, antivirus déployé, mises à jour appliquées. Vos machines sont protégées. Mais il n'y a aucune politique de classification des données. Aucune formation sur l'hameçonnage. Aucun processus pour gérer un incident. Le jour où un employé se fait piéger par un courriel frauduleux, personne ne sait quoi faire, qui appeler, ni quoi dire aux clients. Vous aviez des murs solides, mais pas de plan d'évacuation.

Le piège de la cybersécurité sans gouvernance. Vous investissez dans un centre d'opérations de sécurité. Vous avez de la détection, de la surveillance, des alertes. Mais il n'existe aucun cadre de gouvernance qui définit les rôles, les responsabilités et les processus de prise de décision. Quand l'alerte sonne à 2 h du matin, qui décide de couper l'accès au réseau? Qui avise le CA? Qui parle aux médias? Sans gouvernance, la cybersécurité est une alarme d'incendie dans un édifice sans brigadiers.

L'approche complète. La sécurité de l'information englobe les deux autres. Elle fournit le cadre stratégique (la gouvernance, les politiques, la conformité, la culture) à l'intérieur duquel la cybersécurité et la sécurité informatique opèrent de façon cohérente.

C'est d'ailleurs pour cette raison que notre entreprise s'appelle InfoSec Sécurité de l'information. Pas « CyberSec ». Pas « IT Security Solutions ». Parce qu'on intervient aux trois niveaux, et que le niveau stratégique est celui qui fait la différence entre une organisation qui gère ses risques et une qui les découvre le jour de l'incident.

Et la Loi 25 dans tout ça?

La Loi 25, la loi québécoise sur la protection des renseignements personnels (entrée en vigueur par phases entre 2022 et 2024), ne parle pas de pare-feu. Elle ne parle pas de cybersécurité non plus.

Elle parle de sécurité de l'information.

Elle exige des « mesures de sécurité propres à assurer la protection des renseignements personnels ». Elle exige un responsable de la protection. Elle exige un processus d'évaluation des facteurs relatifs à la vie privée. Elle exige un registre des incidents. Si un incident présente un risque de préjudice sérieux, elle exige la notification à la Commission d'accès à l'information et aux personnes concernées, avec diligence.

Tout ça, c'est de la gouvernance. De la sécurité de l'information au sens large. Si votre programme de sécurité se limite à l'infrastructure technique, vous êtes peut-être en conformité avec vos normes internes TI, mais vous n'êtes pas en conformité avec la Loi 25.

Par où commencer?

Si vous lisez cet article et que vous réalisez que votre organisation fait surtout de la sécurité informatique, peut-être un peu de cybersécurité, mais très peu de sécurité de l'information au sens large, vous n'êtes pas seul.

Trois questions à poser à votre équipe cette semaine :

Première question. « Si on découvre une fuite de données demain matin, est-ce que tout le monde sait quoi faire, dans quel ordre, et qui contacter? » Si la réponse est floue, vous avez un enjeu de gouvernance, pas de technologie.

Deuxième question. « Est-ce qu'on a un inventaire de nos informations sensibles, pas juste nos systèmes, mais nos données, et est-ce qu'on sait qui y a accès? » Si la réponse est non, vous protégez des machines sans savoir ce qu'il y a dedans.

Troisième question. « Notre programme de sécurité couvre-t-il les trois niveaux (gouvernance, cyberdéfense et infrastructure) ou est-ce qu'on met tous nos œufs dans le même panier? » Si vous investissez 95 % de votre budget dans le technique et 5 % dans la gouvernance, le ratio mérite d'être examiné.

Si vous cherchez un accompagnement stratégique pour bâtir (ou renforcer) un programme de sécurité de l'information qui couvre les trois niveaux, parlons-en. Quinze minutes, sans engagement, pour voir si on peut vous aider.

Mario Bouchard, M. Adm., CISSP — Président, InfoSec Sécurité de l'information Inc. Avec plus de 30 ans d'expérience en cybersécurité, il accompagne les CISO et leaders TI pour faire de la cybersécurité un accélérateur de livraison. infosecurite.com