Adequate Learning; Une Autre Vision de la Formation
Adequate Learning; Une Autre Vision de la Formation

Classification de l’information ou des actifs informationnels

La classification ou catégorisation des actifs informationnels s’avère être une étape essentielle dans le processus de gestion des risques informationnels. En effet, cette étape préalable permet de déterminer la criticité des actifs informationnels pour l’entreprise le tout, en fonction des 3 objectifs de sécurité de l’information soit la disponibilité, l’intégrité et la confidentialité. Cette information servira d’intrant à l’évaluation des risques et permettra d’assigner à chacun des actifs un niveau de protection approprié.

La classification d’un actif informationnel devrait être effectuée par le propriétaire ou détenteur de l’actif, qui est le gestionnaire de l’unité d’affaires responsable de l’actif. En effet, cette personne possède généralement une connaissance adéquate des impacts d’affaires advenant une perte de disponibilité, d’intégrité et de confidentialité de cet actif. Également, le détenteur connait les lois et réglementations assujetties à l’information de l’actif (ex. Loi sur la protection des renseignements personnels, PCI-DSS, etc.) ainsi que les conséquences d’y contrevenir.

Afin de réaliser la classification des actifs, la haute direction de l’entreprise devrait mandater un responsable, fournir les ressources requises à la réalisation de ce projet et communiquer formellement son appui. En effet, des efforts non négligeables devront être consentis pour mener à terme ce projet. Notamment, les détenteurs et gestionnaires de l’entreprise devront être mis à contribution afin de décrire les processus de leur unité d’affaires et de ressortir les différentes informations (ou familles d’information) qui y sont exploitées (incluant les intrants, les extrants, l’endroit où se trouve l’information, etc.). Par la suite, ces gestionnaires pourront attribuer les cotes d’impacts pertinentes aux actifs dont ils sont propriétaires.

Il existe différentes méthodes de classification de l’information. Une première consiste à définir une matrice de 3 ou 4 niveaux d’impact pour chaque élément du DIC (« Disponibilité », « Intégrité », « Confidentialité »). Chaque niveau est décrit (cote 1 = impact minime, cote 4 = impact très grave) avec des exemples ou barèmes spécifiques à l’organisation, afin de réduire les ambiguïtés et d’éviter les interprétations lors de l’attribution de la cote. 

Une seconde méthode consiste à mettre en priorité les critères d’impact le plus important pour l’organisation et d’établir un arbre de décision (pour chaque élément du DIC). Prenons l’exemple d’une entreprise qui a établi que ses deux critères les plus élevés sont « perte financière importante » et « arrêt des services impactant significativement les clients ».  Alors, la cote la plus élevée sera attribuée si un de ces deux critères est atteint advenant la perte de disponibilité de l’information. Cela signifiera que cet actif est critique, pour l’élément de la disponibilité (ex. cote = 4).

L’exercice de classification permet d’optimiser les efforts de l’analyse de risques. En effet, cette analyse pourrait s’effectuer prioritairement sur les actifs les plus critiques, identifiés lors de la classification. 

Également, lors de l’évaluation des risques, on utilisera la valeur de l’actif (ou la conséquence financière de la perte de celui-ci), identifiée lors de la classification, afin de justifier la mise en place de contrôles appropriés. Ainsi, un risque pourrait être accepté si le coût de mise en place d’un contrôle de sécurité s’avère supérieur à la valeur de l’actif (ou conséquence de la compromission). Un actif critique pour l’organisation nécessitera généralement des mesures de protection plus élevées. Le tout démontre l’importance de classifier correctement les actifs informationnels de l’entreprise.

Pour plus de détails, voir le lien suivant qui décrit un cas vécu de la classification des actifs informationnels au Mouvement Desjardins :

http://asiq.org/documents/conferences/2012/ASIQ-ISACA-201212.pdf

Par Patrick Paradis, conseiller en sécurité de l'information

Version imprimable Version imprimable | Plan du site Recommander ce site Recommander ce site
© 2014. Copyright Adequate Learning