Derrière cette abréviation se cachent les objectifs de la SSI qui peuvent se traduire en termes d’exigences de :
- Disponibilité, faculté d’un système à fonctionner dans des conditions prédéterminées d’exploitation et de maintenance (de délais et de performances)
- Intégrité, consistant à empêcher les altérations, suppressions ou ajouts d’informations non autorisées
- Confidentialité, consistant à empêcher la divulgation d’informations à des personnes non autorisées
- Traçabilité, consistant à gérer les traces des accès, actions ou échanges réalisés, afin d’assurer la possibilité d’un contrôle systématique ou a posteriori, d’apporter des preuves
Ceux sont ces exigences que vous appliquerez au biens de votre SI en vous servant d’une échelle. Tout les biens n’ayant forcément la même valeur, ces exigences s’établiront en conséquence.
Voici un exemple d’échelle à utiliser :
| Confidentialité | Disponibilité | Intégrité | Traçabilité | |
|
0 |
Public | Aucun besoin de disponibilité | Aucun besoin d’intégrité | Aucun besoin de preuve |
| Le bien est accessible à tous sans aucune restriction. | Le bien peut être indisponible définitivement ou pas, sans que cela ait une conséquence. | Il n’y a aucun besoin de garantir l’intégrité du bien. | Il n’y a aucun besoin de garantir la preuve du bien. | |
|
1 |
Restreint aux Groupe XXX et aux clients | Long terme | ||
| Le bien est accessible seulement aux collaborateurs du Groupe ou pour un client concerné et identifié | Le bien peut être indisponible plus d’une semaine, mais il ne doit pas être perdu définitivement | |||
|
2 |
Restreint aux Groupe XXX | Moyen terme | Besoin d’intégrité moyen | Besoin de preuve moyen |
| Le bien est accessible seulement aux collaborateurs du Groupe. | Le bien doit être disponible dans la semaine. | Besoin d’intégrité moyen | Besoin de preuve moyen | |
|
3 |
Confidentiel | Court terme | ||
| Le bien est accessible seulement aux personnes du Groupe directement concernées par cet élément. | Le bien doit être disponible dans la journée. | |||
|
4 |
Secret | Très court terme | Parfaitement intègre | Fort besoin de preuve |
| Le bien est très sensible, seules certaines personnes identifiées peuvent y accéder. | Le bien doit être disponible en temps réel. | Le bien doit être parfaitement intègre. | Le bien doit être parfaitement traçable |
Ce n’est qu’un exemple, libre à vous de l’adapter à vos besoins. C’est en partie en fonction de cette échelle que vous dimensionnerez par la suite les processus et/ou moyens techniques à mettre en place afin de satisfaire ces exigences. En effet, inutile de mettre en place des solutions dans le genre TripWire pour protéger l’intégrité du répertoire « Communs » de votre serveur de fichiers auquel tout le monde à librement accès (vous savez la décharge à photos de vacances de vos utilisateurs et PowerPoint sur les chatons), je pense que l’intégrité de ces informations est le dernier de vos soucis, non ? Par contre il en va peut-être autrement de votre serveur web institutionnel.
3 comments
droumi
20 août 2013 à 09:49 (UTC 1)
Bonjour,
je trouve cette article bien intéressant, je voulais savoir est ce que il a d’autres exigences importantes quand peux rajouter et la première colonne représente quoi
Cordialement à Vous,
Jonathan BAILLEUL
9 janvier 2013 à 12:49 (UTC 1)
Je trouve cet article concis et précis. J’apporterais toutefois une remarque : à mon avis, une échelle SSI devrait compter un nombre pair de cas, pour éviter lors de l’audit ou de l’évaluation, de tomber sur la valeur intermédiaire. A contrario, il est je pense bénéfique de forcer l’inclination bon/mauvais pour déterminer plus efficacement le plan d’actions.
Michel Mayen
15 janvier 2013 à 18:40 (UTC 1)
Merci d’avoir pris le temps de laisser un commentaire.
Je suis bien de votre avis lorsqu’on cherche à construire une échelle d’évaluation d’un process, comme lors d’un audit de sécurité (pour reprendre votre exemple) mais à ce stade ceci ne me semble pas primordial. Cette outils ne sert qu’à évaluer le besoin.
Par contre pour évaluer les process et moyens devant répondre à ces éxigences, votre remaque prend tout son sens et j’aime bien l’échelle :
0 – Ignoré
1 – Pris en compte
2 – Géré
3 – Optimisé
Qu’en pensez-vous ?