Nous poursuivons notre étude de la norme ISO 27002 de 2013. Son chapitre sur la gestion des actifs comporte un objectif de contrôle recommandant de classifier, de marquer et de manipuler les informations de façon adéquate. Le but en est de faire bénéficier à l’information un niveau de protection proportionnel à sa valeur pour l’organisation.
Classifier l’information
Classifier l’information c’est déterminer sa valeur selon différents angles de vue : les exigences légales (comme par exemple la vie privée), le caractère critique ou sensible. Je fais généralement réfléchir mes clients sur les axes suivants :
- l’information est-elle difficile à collecter et à gérer (valeur d’acquisition) ?
- l’information permet-elle d’atteindre des objectifs importants (valeur d’emploi) ?
- quelles sont nos limitations quand l’information ne répond plus à nos attentes (valeur de perte) ?
- l’information est-elle intéressante pour d’autres organisations (valeur d’attrait) ?
La valeur de perte est parfois difficile à percevoir. Je donne alors l’exemple d’une voiture après le remplacement d’un pneu crevé par la ‘galette’ qui nous limite en vitesse de déplacement. C’est surtout celle valeur de perte et la valeur d’attraction qui sont utilisées car les deux autres sont difficiles à percevoir pour l’information. Valeur d’acquisition et d’emploi sont bien plus souvent utilisées pour les biens supports comme l’informatique.
J’ai déjà présenté des techniques pour classifier l’information: ici, ici et ici.
La norme amène une nouveauté en ce sens qu’elle recommande de classifier l’information selon les trois critères classiques – confidentialité, intégrité et disponibilité – et de toute autre exigence parmi lesquelles on retrouve parfois la traçabilité (comme le radar sur le bord de la route).
C’est le ‘propriétaire’ de l’information qui décide des règles de classification, mais le schéma utilisé sera diffusé par une directive dans toute l’organisation. Tout le monde travaille donc dans le même sens : même nombre de niveaux, même terminologie, mêmes règles de protection. Ce qui pourra varier, ce sont les critères annexes.
Il faut remarquer que le niveau de classification peut varier dans le temps et en fonction du cycle de vie. Par exemple, la disponibilité est plus importante à l’approche d’une date buttoir et la confidentialité quand on prépare une stratégie. La date dépassée ou l’objectif atteint, la valeur de l’information se trouve réduite à peu de chose. L’intégrité, elle, est souvent bien plus stable car l’information doit rester exacte, complète et à jour sans quoi les décisions que l’on prend sont caduques.
La valeur des biens supports qui l’hébergent ou l’exploitent – personnes, locaux, armoires, dossier papier et ordinateur – dépend aussi de l’information qu’ils contiennent et qui est ajoutée à la valeur d’acquisition et d’emploi.
Il ne faut cependant pas croire qu’il est utile de classifier individuellement toute information. Il suffit le plus souvent de classifier les différentes catégories d’informations.
Notons cependant que la présence d’une seule donnée sensible dans un fichier ou un répertoire élève l’ensemble à la valeur du composant identifié. C’est en effet suite à la valeur des bijoux qu’elle contient qu’une chambre est fermée à clé…
Marquer l’information
La valeur faciale d’un billet de banque indique la valeur qu’il représente. Il convient donc d’indiquer sur l’information, ou plus exactement sur le bien support la valeur de l’information qu’il contient. Cela permet à chacun de connaître l’importance de l’information et de prendre les dispositions pour la manipuler et la protéger selon les règles.
Les documents et le courrier portent donc alors une indication de la classification (de confidentialité) : public, interne, confidentiel, secret…
C’est plus compliqué pour les autres supports et pour les autres critères de sécurité. Les ‘propriétés’ d’un document électronique et les métadonnées sur l’ordinateur sont un bon endroit pour indiquer, par exemple par un trigramme (chiffres, lettres ou couleurs), la valeur du contenu. Le matériel sera pourvu d’une étiquette utilisant le même modèle.
Notons que ce marquage est utile pour l’organisation mais attire l’attention et l’intérêt de l’intrus ou du malveillant. Notre marquage devrait donc être codé.
Manipulation de l’information
La classification permet également de préciser le type de gestion de l’information et du bien support. En effet, on ne gère pas un kilo de clous comme on gère un bijou de valeur… donc, la collecte, l’enregistrement, la valorisation (plus précise et individuelle au besoin), le stockage, la manipulation, l’échange, le transport et la mise au rebut varieront selon le niveau de classification.
La classification et le marquage de l’information et des supports sont également essentiels quand on échange de l’information avec d’autres entreprises. Chacun s’entend sur la gestion, la manipulation et la protection des biens de l’autre.
L’absence de classification de l’information et des supports donne à tous les biens informationnels la même valeur : aucune. Heureusement que les biens matériels (comme les ordinateurs) sont gérés et suivis dans la comptabilité.
Votre entreprise a-t-elle publié une directive de classification de l’information permettant de protéger et de gérer celle-ci de façon adéquate ? Les règles sont-elles claires ? Vos contrats contiennent-ils des clauses spécifiques sur la manipulation des informations classifiées échangées ?
Quoi qu’il en soit, ce chapitre reste le nœud des bonnes pratiques en matière de protection de l’information.
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Google+