Malheureusement, il ne suffit pas de cataloguer les contrôles dans la bonne catégorie, la bonne fonction, le bon type ou le bon quartier des BSC. Il faut également bien déterminer quel risque on veut couvrir et quel(s) critère(s) de sécurité seront affectés.
Risques
Les risques peuvent se trouver dans chacune des 9 dimensions de la sécurité (http://info-attitude.com/les-9-domaines-de-la-securite-de-linformation/ ).
- Légal (L) : les exigences, objectifs et règles découlant des lois, règlements et contrats, tout autant que de nos objectifs, nos valeurs et nos enjeux qui transpirent dans nos politiques (nos lois internes).
- Procédural (P) : les processus, méthodes et procédures appliqués au traitement (mémorisation, collecte, manipulation et échange) de l’information ainsi qu’à la gestion des biens, de la qualité et de la sécurité – ils sont automatisés ou non.
- Humain (H) : les caractéristiques du comportement humain (compétences, capacités, motivation, conscience, valeurs, etc.) ainsi que la culture de la société dans laquelle il vit, et de l’entreprise au sein de laquelle il travaille.
- Technologique (T) : les outils nécessaires à la réalisation des processus (du classique « papier-crayon » aux technologies de l’information et de la communication : ordinateurs, réseaux, téléphonie fixe et mobile).
- Organisationnel (0) : déterminant, hiérarchisant et allouant les rôles et responsabilités de chacun (c’est ici que l’imputabilité – voir ci-dessous ‒ est prise en compte).
- Relationnel (R) : les réseaux que les hommes et les groupes d’hommes tissent pour atteindre leurs objectifs, exister et se sentir reconnus pour ce qu’ils sont (ils contiennent la source et la destination de nos informations).
- Environnemental (E) : les éléments qui peuvent concourir à la préservation ou à la détérioration des conditions de travail et de stockage (tant pour l’homme que pour la technologie), ou du contexte humain, culturel et sociétal dans lequel nous opérons.
- Physique (F) : le lieu physique et ses alentours (contexte physique) où les activités prennent place.
- Informationnel (I) : le point focal de notre sécurité réside à la fois dans ce qu’elle est (son format), où elle est (son support), ce qu’elle signifie (en rapport avec son contexte) et ce qu’elle vaut. Elle est de par sa nature même : immatérielle, intangible, virtuelle, dépendante du contexte et volatile.
Cette organisation des contrôles semble nouvelle mais elle ne l’est pas. Si vous regardez bien la structure de la norme ISO 27002 dont nous avons étudié près de la moitié du contenu, il n’est pas difficile de voir le parallélisme.
Critères de sécurité
- Confidentialité : besoin d’une information qui ne soit accessible qu’aux personnes qui ont besoin de la connaître et de l’utiliser pour réaliser ce que nous leur demandons. (Relisez…)
- Intégrité : besoin d’une information complète, exacte et à jour (qualité attendue) et exempte de modifications intempestives. Le besoin d’une information ‘authentique et opposable en justice’ influence la valeur à accorder. (Relisez…)
- Disponibilité : besoin d’une information exploitable et accessible en lieu, temps et heure à ceux qui y ont droit selon les conditions fixées. Ce critère détermine la fréquence des sauvegardes et la mise en place de solutions permettant de récupérer les moyens et ressources perdues. Le besoin de conserver l’information sur une durée précise (parfois très longue) influence la valeur à accorder. (Relisez…)
Les experts discutent beaucoup sur l’ajout d’autres critères. La plupart des idées émises tournent autour du concept d’intégrité. Sauf la traçabilité (capacité à conserver des traces sur les évènements), auditabilité (capacité à analyser les traces et à évaluer l’écart entre ce qui est attendu et ce qui s’est passé), imputabilité (responsabilité effective et ultime, capacité à « répondre » de ce qui s’est produit – accountability en anglais), trois choses intimement liées puisqu’elles ont le même but : la capacité d’attribuer les évènements à une personne ou une cause précise… comme les radars sur le bord de la route. Ce n’est pas un critère mais un besoin de sécurité qui permet de spécifier ce qui doit être enregistré lors du contrôle des accès afin d’identifier les évènements et les incidents de sécurité sur les trois critères de base.
Pour que le besoin en protection soit satisfait, il faut souvent cumuler plusieurs contrôles de types identique et différents. Les solutions aux risques se trouvent également dans chacun de domaines présentés ci-dessus, et il faudrait pour chaque risque sélectionner un contrôle dans deux ou trois domaines afin de disposer de plusieurs lignes de défense.
Nous verrons dans un prochain article les caractéristiques mesurables des contrôles dont il faudrait tenir compte.
On le voit, ce n’est pas si facile de choisir les contrôles à mettre en place.
Estimez-vous que les contrôles et mesures mises en place, en privé ou à votre travail, satisfont les besoins en protection et couvrent suffisamment les risques ?
N’hésitez pas à revenir vers moi si l’une ou l’autre chose ne serait pas claire.
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Google+