Le premier niveau d’objectifs de sécurité de l’information est les exigences. Elles découlent de l’appréciation des risques.
Les exigences
Face aux risques, nous avons une double question à nous poser :
- Sont-ils acceptables ? Dans ce cas aucune action n’est nécessaire.
- Sont-ils inacceptables ? Dans ce cas, Que faire ?
Les exigences sont l’expression du but recherché par l’action à entreprendre pour traiter le risque : Accepter, Eviter, Réduire, Partager et Retenir. Je donne à chaque fois un ou deux exemples. Je les rends explicites et ils ne concernent pas tous vos informations.
Une exigence est, en principe, SMART.
- Spécifique pour chaque risque
- Mesurable, au moins à la louche
- Atteignable et ambitieux, donc acceptable
- Réaliste
- Temporel.
EVITER
La situation est telle que le coût d’une solution est prohibitif ou que le niveau de risque est trop élevé.
Exemple 1 : Vous avez prévu un voyage au Kenya, mais vous apprenez que le ministère des affaires étrangères déconseille les déplacements dans ce pays à cause de la menace d’attentats.
Exemple 2 : Le risque de vol ou de copie de vos informations privées sur les réseaux sociaux (par exemple Facebook) dépasse la limite que vous vous fixez.
Exigence : Vous ne partez pas au Kenya et vous ne créez pas un profil Facebook.
Vous pouvez assortir cette exigence d’une durée probatoire au terme de laquelle vous réévaluez votre risque et le poids des mesures de sécurité à prendre. Vous pourrez, alors, soit prolonger l’évitement, soit prendre une autre décision.
REDUIRE
C’est la solution la plus courante. On agit soit sur ce qui conduit aux conséquences (le scénario de survenance), soit sur la sévérité des conséquences, soit sur les deux.
Exemple : Vous craignez que votre mot de passe unique ait été compromis, donnant accès à tous vos comptes et documents.
Exigence 1 : Vous créez dans l’heure qui vient quatre mots de passe solides : un pour votre ordinateur, un pour vos comptes de courriel, un pour vos comptes internet et un pour les réseaux sociaux.
Exigence 2 : Vous isolez une partie de vos documents dans un répertoire spécial au titre anodin classé ailleurs sur votre ordinateur. Pourquoi pas sur une clé-USB ou le Cloud ? Attention : n’utilisez pas le Cloud pour des documents sensibles ou contenant des informations à caractère personnel ! J’y reviendrai.
PARTAGER
Cette solution est choisie pour les cas complexes et quand vous ne disposez pas des moyens adéquats. Vous déléguez une partie des solutions (techniques) chez un tiers compétent et vous assurez la partie ‘opérationnelle’. Attention, vous restez toujours ‘responsable’.
Exemple : Vous craignez les cambriolages dans votre appartement.
Exigence : Vous installez un système d’alarme qui active une caméra et envoie un vigile en patrouille ; de l’autre côté, vous veillez à bien fermer votre porte et à activer l’alarme quand vous quittez votre demeure.
RETENIR
Vous ne faites rien… en théorie. Mais vous connaissez le risque et pouvez surveiller son évolution.
« Un homme averti en vaut deux », dit la sagesse populaire.
C’est une décision que vous prenez parce que vous ne savez pas quoi faire, que cela coûte trop cher ou que les bénéfices de la situation dépassent les risques.
Parfois vous rencontrerez des situations où votre couverture des risques n’est pas idéale et que le ‘risque résiduel’ est supérieur à celui que vous êtes prêt à accepter sans rien faire.
Exemple : Votre ordinateur est vieux et lent. Il n’est plus ‘au gout du jour’ en ce qui concerne sa sécurité ‘de base’. Le fournisseur du système d’exploitation n’assure plus le suivi. Il vous faut un nouvel ordinateur plus puissant qui supporte la nouvelle version du système d’exploitation. Mais votre budget ne le permet pas
Exigence : Vous épargnez pour acheter le nouvel ordinateur dans un délai de 6 mois. Entre temps, vous sauvegardez toutes vos informations sur un disque dur externe, tournez tous les jours votre anti-virus et ne vous connectez à l’interne que sporadiquement.
Voilà, ce n’est pas plus compliqué que ça. Savoir où vous voulez aller et y aller à petits pas est bien mieux que ne se cacher les yeux.
Avez-vous d’autres exemples d’exigences, des questions ? N’hésitez pas à m’écrire.
A bientôt, plus en sécurité avec vos informations…
Jean-Luc
Google+
Merci pour ces conseils clairs et utiles. La question de l’analyse du risque me semble subjective: certaines personnes ont un goût plus prononcé pour le risque et ont tendance à sous-évaluer ceux-ci. Tandis que d’autres, pour réduires les risques, n’osent pas agir. En ce qui concerne la sécurité de l’information, il y a toujours un risque puisque dès lors que l’on utiliser un système information, on accepte de facto un risque.
Bonjour M. Rouffet.
Je suis heureux de vous retrouver.
En effet, il y a de la subjectivité en tout. la gestion des risques n’y échappe pas. C’est la fixation des critères de risque et d’évaluation des risques au cours de la phase d’analyse du contexte qui canalise cette subjectivité. La gestion des risques se fait toujours sous la responsabilité du ‘propriétaire’ de l’information ou du processus de traitement. Le choix du traitement, qui fait l’objet de cet article, est le tout premier point. Nous verrons dans la suite de cette série d’articles – de présentation générale et donc ne rentrant pas dans les détails – que c’est surtout dans les autres niveaux d’objectifs que l’objectivité prend sa place.
Je vous invite à télécharger l’ebook qui propose une méthode Quick Win (pour les cas simples). Je prépare une formation plus fouillée, basée sur les découvertes que nous faisons au cours de la révision de la norme ISO 27005 dont je suis co-éditeur.
A bientôt
Jean-Luc Allard