La classification de l'information ? Une étape incontestablement... sexy !
On remarque, depuis une décennie, qu'avant de mettre en force une politique de sécurité de l’information, les organismes ont déjà, depuis plusieurs années, mis en place des mesures de sécurité, parfois de nature préventive, de détection et/ou encore de correction. Et, à chaque fois, ces organismes ont investi dans de grands projets, de grandes infrastructures et, très souvent, dans l'acquisition de produits commerciaux.
D’ailleurs, Daniel Geer le mentionne si bien dans : '' three quarters of all data losses are discovered by unrelated third parties, from which one can inevitably infer that the victim's network and infrastructure security regimes were neither effective nor relevant.'' cf. http://www.scmagazineus.com/the-enterprise-information-protection-paradigm/article/164341/
(A noter également que l’information n’est pas que numérique… ce qui démontre que la sécurité de l’information n’est pas seulement tributaire des technologies de l’information.)
Mais, sans avoir au préalable mis en place une gestion efficace de leur information (actifs informationnels selon ISO2700x), il est très difficile pour ces organismes, voire impossible, de savoir ce qu'ils doivent protéger et comment. Finalement, la mise en œuvre de mesure de sécurité entraîne des plaintes des usagers, car, prise du mauvais côté, la sécurité de l’information n'est pas génératrice d'efficacité mais, au contraire, elle génère des contraintes, sans compter les dangereux contournements des rebelles.
Heureusement, la mise en place d'une gestion efficace de l'information est simple ; encore faut-il y aller pas à pas, car c’est grandement lié à un changement de culture et, comme tout grand changement, il est conseillé, pour en assurer une pérennité, d’y aller lentement, mais sûrement.
Selon notre expérience, plusieurs organismes ont - grâce à nos six étapes - réussi à mettre en force leur politique de classification de l'information dans l’objectif de mieux appliquer les mesures de sécurité, de mieux gérer leurs risques, et ce, de façon efficiente :
1) Identifier l'information sensible et indispensable au bon déroulement des affaires
Cette étape, basée sur la raison d'être de l'organisme et ses lignes d'affaires, permet de faire ressortir rapidement l'information sensible. L’information peut parfois être également assujettie à des lois et règlements, ce qui facilite la tâche d’identification.
Lors de l'identification, on prendra soin de faire la distinction entre les actifs primordiaux et de soutien, car c'est grâce à cette distinction que nous devrons, sur les actifs de soutien, appliquer les mesures de sécurité, selon la sensibilité des actifs primordiaux qu’ils soutiennent.
(''découvrez pourquoi l’identification est la première étape vers une protection des informations plus intelligentes et évitant de coûteuses violations de données'' : http://www.cerberis.com/actualite-une-protection-des-donnees-plus-intelligente-grace-a-l---identification-133.html)
2) Localiser l'information pertinente
Cette étape consiste à localiser physiquement et logiquement l'information pertinente, et ce, peu importe sa forme, qu'elle soit numérique ou non numérique. De plus en plus, l'information est partagée avec des partenaires, des entités plus ou moins de confiance. Il est nécessaire de reprendre un certain contrôle, ou tout au moins de savoir où se trouve l’information.
3) Définir les rôles et responsabilités de chacun intervenant
Cette étape, très importante, consiste à définir les rôles et responsabilités des propriétaires, des responsables et des détenteurs de l'information. En effet, sans cette étape, il n'y a pas de responsabilisation et donc pas d'imputabilité. Cette étape aidera les détenteurs à appliquer adéquatement les mesures de sécurité selon la sensibilité que leur auront exprimée les responsables et propriétaires de l’information.
4) Établir la grille de sensibilité, base de classification de l'information
Cette étape consiste à définir une classification en termes de critères telles que l'incontournable disponibilité, l'intégrité ou encore la confidentialité. Dans la classe ''confidentialité'' on retrouve, par exemple, les catégories : externe, interne, confidentiel et stratégique.
Cette étape est sujet à discussions, tergiversations car les classifications à vocation universelle ne peuvent faire abstraction d'un point de vue et font, de ce fait, l'objet de nombreuses critiques. Il sera donc pertinent de proposer un niveau de classification corporatif et permettre un niveau de sensibilité supplémentaire et interne à chaque service ou direction.
5) Marquer l'information
Cette étape, enfin, consiste à marquer l'information avec une étiquette (physiquement) ou encore dans un cartouche (logiquement). Le processus de gestion de l’information devient alors simple et intuitif, voire invisible, car les utilisateurs, petit à petit, seront amenés à classifier dès la création de l'information. Cette étape est primordiale pour assurer une pérennité à la classification.
6) Impliquer les utilisateurs
Il est primordial, dès le début de votre projet de mise en œuvre, d'impliquer les utilisateurs par un projet pilote en leur montrant les bénéfices et en gérant le changement de leurs façons de faire.
Lors de cette étape, les utilisateurs se questionneront de nouveau sur la sensibilité de leur information et cela vous permettra d'ajuster la grille de classification.
En suivant ces six étapes, dans un mode d'amélioration continu, la clé de voûte de votre politique de sécurité prendra forme, et ce, peu importent les technologies sous-jacentes.
Désormais, à partir du moment où votre information commencera à être localisée, que des intervenants responsables seront désignés et que l'information sera classifiée selon sa sensibilité, vous commencerez à sortir du brouillard. L'application des mesures de sécurité deviendra plus efficace, plus logique, la surveillance deviendra plus focalisée et la justification des dépenses en mesures organisationnelles ou solutions technologiques de sécurité plus aisées.
Si vous avez des questions, bonifications ou commentaires, elle/ils sont les bienvenu(e)s, merci.
Aucun commentaire:
Enregistrer un commentaire