C’est à tort que l’on utilise les concepts de sécurité de l'information et de cybersécurité de manière interchangeable (von Solms et van Niekerk, 2013). Bien qu’il n’existe pas de définition universellement acceptée du concept de sécurité de l’information, celle donnée par ISO/IEC 27002 est fréquemment employée. La norme ISO/CEI 27002 définit la sécurité de l'information comme la « protection de la confidentialité, de l'intégrité et de la disponibilité de l’information. » Il en est de même pour le concept de cybersécurité, qui n’a pas de définition universellement acceptée. Selon l'Union internationale des télécommunications (UIT), « la cybersécurité vise à garantir la réalisation et le maintien des propriétés, en matière de sécurité, de l'organisation et des ressources des utilisateurs contre les risques liés à la sécurité dans le cyberespace » (UIT-T X.1205). Ainsi, la cybersécurité protège non seulement le cyberespace, « mais elle protège [...] aussi [...] les personnes [qui] y sont actives ainsi que celles de leurs ressources auxquelles le cyberespace permet d’accéder » (von Solms et van Niekerk, 2013, p. 101).
La norme ISO/IEC 27002 comporte 14 domaines de contrôles de sécurité de l'information, ainsi que des règles et recommandations pour leur mise en œuvre. Il s’agit des domaines suivants : les politiques de sécurité, l’organisation de la sécurité de l’information, la sécurité liée aux ressources humaines, la gestion des ressources, les contrôles d’accès, la cryptographie, la sécurité physique et environnementale, la sécurité opérationnelle, la sécurité des communications, l’acquisition, le développement/la conception et l’entretien des systèmes, la relation avec les fournisseurs, la gestion des incidents liés à la sécurité de l’information, les aspects du plan de continuité de l’activité qui se rapportent à la sécurité de l’information, et le respect des règles applicables (« compliance » en l’anglais).
Pour plus d’informations sur ces contrôles, voir : ISO/IEC 27002.
La sécurité de l’information et la cybersécurité dépendent de la divulgation des vulnérabilités. Lorsque des chercheurs ou autres spécialistes découvrent des vulnérabilités, ils ou elles peuvent les divulguer soit complètement, soit de manière responsable (Trull, 2015). La divulgation complète consiste à publier (sur un site Web par exemple) les vulnérabilités du logiciel ou du matériel informatique avant qu’une solution pour corriger le problème soit disponible (Trull, 2015). En revanche, la divulgation responsable consiste à attendre, pour publier une vulnérabilité, que l’organisation responsable du logiciel ou de l’équipement trouve une solution (Trull, 2015). Dans la divulgation responsable, les scientifiques ou spécialistes contactent les organisations touchées et attendent qu’un moyen soit trouvé et diffusé de corriger la vulnérabilité découverte. Une fois la solution diffusée, les spécialistes peuvent communiquer officiellement des informations sur les vulnérabilités et se voir attribuer leur découverte. La personne qui choisit cette méthode de divulgation peut alors demander ce que l’on appelle un « identifiant CVE » (« CVE identifier » ; « CVE » étant l’acronyme de l’anglais « Common Vulnerabilities and Exposures (Vulnérabilités et Failles Communes »). La CVE est une liste des identifiants communs des vulnérabilités en matière de cybersécurité qui ont été publiées (CVE, en anglais). Cette liste recense toutes les vulnérabilités affectant les principaux logiciels, ainsi que les noms des personnes qui les ont découvertes. La personne qui découvre une vulnérabilité dispose d’une troisième option, en plus du choix entre divulgation complète ou responsable : celle de ne pas divulguer (Cencini, Yu, & Chan, 2005). Une autre méthode de divulgation est la divulgation coordonnée des vulnérabilités (DCV). Cette « approche […] consiste à collecter des informations auprès des personnes qui découvrent des vulnérabilités, à en coordonner le partage avec différentes parties prenantes, et à révéler l'existence de ces vulnérabilités des logiciels, ainsi que des solutions disponibles, à diverses parties prenantes, dont le grand public » (Householder, Wassermann, Manion, and King, 2017).
Il existe des directives s’agissant des bonnes pratiques en matière de traitement et de divulgation des vulnérabilités, comme par exemple les directives pratiques élaborées et publiées par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) (pour un complément d’informations sur ces organisations, voir le Module 4 : Introduction à la criminalistique numérique), sur la divulgation des vulnérabilités (ISO/IEC 29147) et les processus de traitement de la vulnérabilité (ISO/IEC 30111).