DICT et échelle d’exigence

Derrière cette abréviation se cachent les objectifs de la SSI qui peuvent se traduire en termes d’exigences de :

  • Disponibilité, faculté d’un système à fonctionner dans des conditions prédéterminées d’exploitation et de maintenance (de délais et de performances)
  • Intégrité, consistant à empêcher les altérations, suppressions ou ajouts d’informations non autorisées
  • Confidentialité, consistant à empêcher la divulgation d’informations à des personnes non autorisées
  • Traçabilité, consistant à gérer les traces des accès, actions ou échanges réalisés, afin d’assurer la possibilité d’un contrôle systématique ou a posteriori, d’apporter des preuves

Ceux sont ces exigences que vous appliquerez au biens de votre SI en vous servant d’une échelle. Tout les biens n’ayant forcément la même valeur, ces exigences s’établiront en conséquence.

Voici un exemple d’échelle à utiliser :

Confidentialité Disponibilité Intégrité Traçabilité

0

Public Aucun besoin de disponibilité Aucun besoin d’intégrité Aucun besoin de preuve
Le bien est accessible à tous sans aucune restriction. Le bien peut être indisponible définitivement ou pas, sans que cela ait une conséquence. Il n’y a aucun besoin de garantir l’intégrité du bien. Il n’y a aucun besoin de garantir la preuve du bien.

1

Restreint aux Groupe XXX et aux clients Long terme
Le bien est accessible seulement aux collaborateurs du Groupe ou pour un client concerné et identifié Le bien peut être indisponible plus d’une semaine, mais il ne doit pas être perdu définitivement

2

Restreint aux Groupe XXX Moyen terme Besoin d’intégrité moyen Besoin de preuve moyen
Le bien est accessible seulement aux collaborateurs du Groupe. Le bien doit être disponible dans la semaine. Besoin d’intégrité moyen Besoin de preuve moyen

3

Confidentiel Court terme
Le bien est accessible seulement aux personnes du Groupe directement concernées par cet élément. Le bien doit être disponible dans la journée.

4

Secret Très court terme Parfaitement intègre Fort besoin de preuve
Le bien est très sensible, seules certaines personnes identifiées peuvent y accéder. Le bien doit être disponible en temps réel. Le bien doit être parfaitement intègre. Le bien doit être parfaitement traçable

Ce n’est qu’un exemple, libre à vous de l’adapter à vos besoins. C’est en partie en fonction de cette échelle que vous dimensionnerez par la suite les processus et/ou moyens techniques à mettre en place afin de satisfaire ces exigences. En effet, inutile de mettre en place des solutions dans le genre TripWire pour protéger l’intégrité du répertoire « Communs » de votre serveur de fichiers auquel tout le monde à librement accès (vous savez la décharge à photos de vacances de vos utilisateurs et PowerPoint sur les chatons), je pense que l’intégrité de ces informations est le dernier de vos soucis, non ? Par contre il en va peut-être autrement de votre serveur web institutionnel.

3 comments

  1. droumi

    Bonjour,
    je trouve cette article bien intéressant, je voulais savoir est ce que il a d’autres exigences importantes quand peux rajouter et la première colonne représente quoi
    Cordialement à Vous,

  2. Jonathan BAILLEUL

    Je trouve cet article concis et précis. J’apporterais toutefois une remarque : à mon avis, une échelle SSI devrait compter un nombre pair de cas, pour éviter lors de l’audit ou de l’évaluation, de tomber sur la valeur intermédiaire. A contrario, il est je pense bénéfique de forcer l’inclination bon/mauvais pour déterminer plus efficacement le plan d’actions.

    1. Michel Mayen

      Merci d’avoir pris le temps de laisser un commentaire.

      Je suis bien de votre avis lorsqu’on cherche à construire une échelle d’évaluation d’un process, comme lors d’un audit de sécurité (pour reprendre votre exemple) mais à ce stade ceci ne me semble pas primordial. Cette outils ne sert qu’à évaluer le besoin.

      Par contre pour évaluer les process et moyens devant répondre à ces éxigences, votre remaque prend tout son sens et j’aime bien l’échelle :
      0 – Ignoré
      1 – Pris en compte
      2 – Géré
      3 – Optimisé

      Qu’en pensez-vous ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


deux − 1 =

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>