D'une façon générale, les exigences de sécurité des systèmes d'information sont analysées avec l'échelle Evaluation Assurance Level.
Pour les applications civiles, les exigences de sécurité ne dépassent en général pas le niveau EAL 4+.
Pour les applications militaires, les exigences de sécurité vont des EAL 5 à 7.
La sécurité globale d'un système d'information sera celle du maillon le plus faible, et sera bien représentée par la sécurité des bases de données ou celle des interfaces entre les applications. Il est donc crucial de s'intéresser aux EAL des SGBD et des systèmes d'interfaçage (bus informatiques, EAI).
Dans le cas du logiciel libre, les niveaux de sécurité des bases de données employées (MySQL,...) sont en général assez bas dans l'échelle EAL, en raison de la moindre puissance financière des communautés de logiciel libre.
Une protection efficace du patrimoine informationnel nécessite avant tout une étude approfondie du cadre juridique. Il est très important de prendre conscience qu'il existe une hiérarchie dans la réglementation. Par exemple, dans l'Union européenne, les directives européennes priment sur les lois des États membres (hiérarchie des normes).
On doit croiser cette étude juridique avec :
Il est nécessaire de bien structurer à la fois les données et les communautés de pratique, qui ont en commun le domaine d'activité et le niveau de sécurité. C'est un aspect important de la gestion de contenu.
On doit utiliser les métadonnées d'une façon normalisée avec un registre de métadonnées. On doit examiner comment intervient chaque élément dans la sécurité, ainsi que les raffinements associés, comme par exemple : identifiant et certificat électronique associé, nature du document, portée du document, droits, audience, etc.
(records management en anglais).
En pratique, la sécurité des données doit se mettre en œuvre par des actions concernant l'enregistrement des données électroniques.
Sécurité des enregistrements
Les données qui permettent de gérer la sécurité, liées au profil de protection à choisir (ou choisi), doivent être positionnées dans le système d'information de telle manière que l'enregistrement effectué puisse fournir la preuve des actions d'une personne ou d'une entreprise et des affaires correspondantes.
La gestion de la preuve fait l'objet d'une norme, la norme ISO 15489 (en anglais et en français).
Enregistrement des données et gestion de la preuve
La sécurité et l'enregistrement des données et la gestion de la preuve sont donc en relation très étroite.
Il ne peut pas y avoir de bonne gestion de la preuve, sans un bon enregistrement des données tout au long du cycle de vie et des processus associés (filières). Ainsi, il faut décrire de façon très précise les impacts sur les opérations suivantes :
Ces processus sont de la plus haute importance en informatique, car ils contiennent le capital des connaissances dites explicites, en langage d'ingénierie des connaissances.
En fin de compte, on ne peut évidemment pas découpler totalement les aspects données et traitements de l'information, de sorte que le choix de l'architecture de données impacte fortement l'architecture physique de l'ordinateur, et en particulier sa capacité à effectuer des processus en multitâches (voir aussi multiprocesseurs). C'est la raison pour laquelle il est préférable d'étudier la sécurisation des données dans le cadre d'une démarche d'urbanisation des systèmes d'information. Pratiqué par 35% des organisations françaises interrogées en 2010, l’archivage de contenus à valeur probatoire devrait concerner 71% d'entre elles d’ici 2012.
Il existe dans l'Union européenne des règlements sur la protection de la vie privée, en particulier la directive 95/46 du 24 octobre 1995 sur la protection des données. Le G29 est un groupe européen chargé de coordonner les autorités de protection des données de l’Union européenne.
Dans le droit français, la Loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 indique, dans son article 34, que "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".
Il s'agit d'une obligation de moyens, non de résultats.
Le 23 mars 2010 une proposition de loi a été votée en première lecture au Sénat, qui vise à renforcer cette obligation de sécurisation des données à caractère personnel.
Cette proposition de loi, visant à mieux garantir le droit à la vie privée à l’heure du numérique, introduirait l'obligation, pour le responsable de traitement, à notifier à la CNIL les "violations de traitements de données personnelles" : « En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant informatique et libertés, ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le responsable du traitement, avec le concours du correspondant informatique et libertés, prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. Le correspondant informatique et libertés en informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes".
Ce type d'obligation existe déjà à l'étranger, notamment aux USA sous l'appellation de Security breach notification laws, mais aussi en Allemagne depuis le 1er septembre 2009.
Si cette loi est promulguée, il s'agirait d'une obligation de résultat.
L'AFCDP (Association française des correspondants à la protection des données à caractère personnel) mène des travaux au sein de son groupe de réflexion "Notification des atteintes aux traitements de données personnelles" dans le cadre de l'éventuel décret d'application.