L'approche RSSI: Classification
L’identification et la classification des actifs font partie intégrante de la gestion des risques et représentent des composantes importantes pour la gestion de la sécurité de l’information (encore appelé: système de management de la sécurité de l’information - SMSI, voir ISO/IEC 27001). Elles définissent les besoins de sécurité en termes de confidentialité, disponibilité et intégrité.
Rédigez et faites appliquer une politique sectorielle sur la classification et maîtrise des ressources
Principes de classification
- Plus l’impact d’une divulgation est important, plus la classification de confidentialité devra être élevée.
- Plus l’impact d’une perte en cas de compromission d’un actif est important, plus la classification d’intégrité devra être élevée.
- Plus l’impact en cas d’entrave prolongée à l’accès légitime à l’actif est critique, plus la classification de disponibilité devra être élevée.
Importance de la classification
La classification des actifs sert avant tout à établir une analyse des risques. En effet pour effectuer celle-ci, il est nécessaire de mettre en relation la criticité d’un actif (= niveau de classification - impact potentiel) avec les menaces et les vulnérabilités y associées.
La classification permettra de manière la plus objective possible d’évaluer les risques et d’établir un plan de traitement face à ceux-ci. Ainsi le bénéficiaire pourra s’assurer de la réduction des risques majeurs, tout en considérant le niveau d’investissement disponible.
Schéma de classification
Chaque entreprise dispose d’actifs plus ou moins critiques pour assurer son bon fonctionnement. Parmi ces actifs, on compte des processus métier, des personnes, des informations et bien-sûr des machines. Afin de pouvoir mettre en place des mesures de sécurité efficaces et performantes, il est nécessaire de définir un niveau de protection à apporter à chacun des actifs.
Pour cette raison, il importe de procéder à une classification des actifs et de déterminer leur criticité quant au degré de confidentialité, d’intégrité et de disponibilité.
Confidentialité
Le schéma suivant indique l’abréviation officielle, le nom et une description des classes de confidentialité. Il fait aussi référence aux classes du schéma “Trafic Light protocol” défini par l’administration anglaise NISCC. Ces classes définissent des règles de distribution pour des informations utilisées au niveau de la protection des infrastructures critiques.
Catégorie | 1) Impact, 2) Gestion, 3) Exemple, 4) Outils | Correspondance TLP |
---|---|---|
SE, Secret |
|
Rouge Pour les destinataires nommés seulement, la plupart du temps passé verbalement ou en personne |
CO, Confidentiel |
|
Orange Distribution limitée, au sein de l'organisation, mais seulement sur la base du "besoin d'en connaître". |
RE, Restreint |
|
Vert À l'échelle de l’organisation. Circulation, ne peut être publié ou affiché sur Internet, ni publié à l'extérieur de l’organisation. |
IN, Interne |
|
Vert À l'échelle de l’organisation. Circulation, ne peut être publié ou affiché sur Internet, ni publié à l'extérieur de l’organisation. |
PU, Public |
|
Blanc Illimité, soumis aux règles standard du droit d'auteur, les informations WHITE peuvent être distribuées librement, sans restriction. |
Intégrité
Le schéma suivant indique l’abréviation officielle, le nom et une description des classes d’intégrité.
Catégorie | 1) Impact, 2) Gestion, 3) Exemple, 4) Outils |
---|---|
VIT, Vital |
|
IMP, Important |
|
NOR, Normal |
|
Disponibilité
La disponibilité est exprimée en fonction du temps de réparation estimé en cas de panne.
Catégorie | Code catégorie | Temps calendaire d’arrêt par an | Temps ouvré d’arrêt par an |
---|---|---|---|
1 | 20J | 1 mois | +/- 20 jours |
2 | 10J | ½ mois | 2 semaines |
3 | 5J | 1 semaine | 5 jours |
4 | 2.5J | ½ semaine | 2½ jours |
5 | 1J | 1 day | 8 heures |
6 | 0.5J | ½ day | 4 heures |
7 | 0.1J | 1 hour | 1 heures |