Les contrôles (2)

Les classes

Les modèles présentés dans l’article précédent sont intéressants, mais ils ne rendent pas une image bien claire de l’effet des contrôles. On pourrait retrouver les contrôles dans chacune des cinq classes ci-dessous.

Contrôles-clés :

Ce sont ceux dont le rôle est d’atteindre directement l’objectif de protection. Ce sont les contrôles auxquels on pense directement.
Exemples : les mécanismes de contrôle de l’identité des demandeurs d’accès; la serrure… si la porte est fermée.

Contrôles collaboratifs :

Ce sont les contrôles qui, en dehors de leur propre réalisation d’un objectif propre aident un autre à atteindre ses objectifs.
Exemple : le contrôle du profil d’usage des demandeurs d’accès ; la désignation de ceux à qui une clé de la porte est donnée.
La paire contrôle d’accès physique et logique est un autre exemple de contrôles collaboratifs… s’ils sont interconnectés, ce qui n’est pas toujours le cas.

Contrôles support :

Ce sont les contrôles qui n’ont pas un objectif direct de sécurité ou de protection mais permettent aux contrôles-clés de fonctionner et sans lesquels rien ne serait possible.
Exemple : la gestion de l’identité des demandeurs, la gestion des authentifiants, la gestion des profils d’accès ; la sensibilisation et la formation à la sécurité ; l’organisation de la sécurité ; la gestion du personnel, des biens et de l’entreprise ; la stratégie de sécurité ; la gestion des clés de la serrure.

Contrôles alternatifs :

Ces contrôles sont des mesures secondaires activées en permanence et destinées à pallier les défaillances des contrôles-clés.
Exemple : la surveillance/supervision des activités ; les journaux système et leur analyse… le frein à main et l’enclenchement d’une vitesse quand on stationne sa voiture dans une pente; la ‘double‘ protection contre le déplacement d’un  container dans un avion;

Contrôles backup :

Ces contrôles ne sont mis en œuvre que dans les situations dans lesquelles les contrôles-clés en peuvent fonctionner ou opérer, complètement ou pas du tout.
Exemple : surveillance physique quand la surveillance électronique est défaillante ou impossible ; les mesures ‘spéciales’ ou modifiées en période de crise prévues dans les plans de continuité des activités et de reprise après désastre.

 

Ne s’intéresser qu’aux contrôles-clés peut donc s’avérer dangereux.

Les finalités

La Balanced Score Card

Outil de management de navigation dans la stratégie de la santé de l’entreprise au delà du seul aspect financier, la BSC a reçu une traduction vers l’informatique par le Massashusets Institute of Technology (le fameux MIT) qui trouve directement son utilisation dans la sécurité de l’information.

Les deux premiers quartiers visent les entités externes à la fonction de sécurité et les deux derniers se concentrent sur la capacité de sécurité. Ce qui importe, après avoir distribué les contrôles sélectionnés dans le quartier correspondant (un contrôle peut se trouver dans plusieurs quartiers, même s’il a une appartenance primaire), c’est de conserver un bon équilibre entre les quatre quartiers sans quoi le système va se bloquer et le plan d’actions de sécurité n’atteindra pas ses objectifs.

L’orientation ‘clients’

On y retrouve les contrôles qui facilitent et augmentent l’information, la compétence et la satisfaction des utilisateurs et des clients. Ils permettent de concevoir des outils et mécanismes de sécurité appropriés, faciles d’emploi et acceptés par les utilisateurs, les mécanismes pour signaler les défaillances, les vulnérabilités, les incidents, les idées. Un ‘client’ motivé est un agent actif pour la sécurité.
Exemples : information, conseil, sensibilisation, conscientisation, responsabilistion et formation du personnel ; des mécanismes de contrôles d’accès simples et bien compris qui sont ensuite bien utilisés.

L’orientation métier et la contribution à l’entreprise

On y retrouve les contrôles qui ont comme but la détermination et la satisfaction des besoins en sécurité de l’entreprise, basée sur des processus et les fonctions métiers ; ces contrôles permettent de maitriser les impacts métiers en cas de faiblesse ou d’attaque et de dimensionner les solutions de sécurité afin qu’elles s’adaptent aux changements futurs.

Exemples : le maintien à niveau de la conformité légale et règlementaire ou normative ; la classification des informations, des biens et des services ; les politiques de sécurité…

L’orientation future

On y trouve les contrôles qui permettent le suivi de l’évolution du contexte de l’entreprise, des menaces et de la technologie. Ils assurent l’évolution future de la sécurité, adaptée aux besoins.

Exemples : Les évaluations des risques présente et futures ; les programmes de sensibilisation et de formation à la sécurité.

La recherche de l’excellence opérationnelle

On y trouve les contrôles qui ont comme objectif d’affuter les compétences, l’efficacité, l’efficience et la qualité du personnel et des solutions de sécurité.

Exemples ; les solution considérant leur rapport coût / efficacité (donc orientées risques et continuité des activités) ainsi que les contraintes organisationelles et opérationelles ; le respect de critères et de normes dans l’écriture des politiques et des directives ainsi que dans le choix, la configuration et l’opération des solutions de sécurité.

 

On le voit, le choix et la coordination des contrôles de sécurité n’est pas choses aisée et demande réflexion. Sauriez-vous distribuer les contrôles mis en œuvre dans votre entreprise à la fois dans les 5 classes et les 4 quartiers? Avez-vous découvert des déséquilibres ?

A bientôt, plus en sécurité avec vos informations.

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.