L'approche RSSI: Classification

L’identification et la classification des actifs font partie intégrante de la gestion des risques et représentent des composantes importantes pour la gestion de la sécurité de l’information (encore appelé: système de management de la sécurité de l’information - SMSI, voir ISO/IEC 27001). Elles définissent les besoins de sécurité en termes de confidentialité, disponibilité et intégrité.

Rédigez et faites appliquer une politique sectorielle sur la classification et maîtrise des ressources

Principes de classification

Importance de la classification

La classification des actifs sert avant tout à établir une analyse des risques. En effet pour effectuer celle-ci, il est nécessaire de mettre en relation la criticité d’un actif (= niveau de classification - impact potentiel) avec les menaces et les vulnérabilités y associées.

La classification permettra de manière la plus objective possible d’évaluer les risques et d’établir un plan de traitement face à ceux-ci. Ainsi le bénéficiaire pourra s’assurer de la réduction des risques majeurs, tout en considérant le niveau d’investissement disponible.

Schéma de classification

Chaque entreprise dispose d’actifs plus ou moins critiques pour assurer son bon fonctionnement. Parmi ces actifs, on compte des processus métier, des personnes, des informations et bien-sûr des machines. Afin de pouvoir mettre en place des mesures de sécurité efficaces et performantes, il est nécessaire de définir un niveau de protection à apporter à chacun des actifs.

Pour cette raison, il importe de procéder à une classification des actifs et de déterminer leur criticité quant au degré de confidentialité, d’intégrité et de disponibilité.

Confidentialité

Le schéma suivant indique l’abréviation officielle, le nom et une description des classes de confidentialité. Il fait aussi référence aux classes du schéma “Trafic Light protocol” défini par l’administration anglaise NISCC. Ces classes définissent des règles de distribution pour des informations utilisées au niveau de la protection des infrastructures critiques.

Catégorie 1) Impact, 2) Gestion, 3) Exemple, 4) Outils Correspondance TLP
SE, Secret
  1. La divulgation pourrait nuire gravement aux intérêts de l’organisation.
  2. Gestion selon des procédures bien établies, stockée uniquement dans des emplacements chiffrés sous le contrôle exclusif du détenteur.
  3. Information classifiée par la loi (EU, OTAN, National, etc.), les mots de passe, l’information sensible.
  4. Utilisation de la cryptographie, coffre-fort, mémoire uniquement.
 Rouge

Pour les destinataires nommés seulement, la plupart du temps passé verbalement ou en personne
CO, Confidentiel
  1. La divulgation pourrait nuire aux intérêts de l’organisation.
  2. Gestion selon des procédures bien établies, accès restreint à des personnes ayant un motif approuvé.
  3. Secret bancaire, données à caractères personnelles sensibles (santé), incidents de sécurité.
  4. Utilisation de la cryptographie, stockage local non partagé, gestion des autorisations d’accès formellement gérés.
Orange

Distribution limitée, au sein de l'organisation, mais seulement sur la base du "besoin d'en connaître".
RE, Restreint
  1. La divulgation pourrait être défavorable aux intérêts de l’organisation ou du groupe autorisé.
  2. Gestion sur base d’un contrat de travail ou d’un NDA, données à caractères personnelles (salaire), motivation partagée par un responsable de dossier.
  3. Documentation ou schéma de réseau interne, programme source.
  4. Utilisation de la cryptographie, gestion des autorisations d’accès strictement gérés.
 Vert

À l'échelle de l’organisation. Circulation, ne peut être publié ou affiché sur Internet, ni publié à l'extérieur de l’organisation.
IN, Interne
  1. La divulgation pourrait être parfois défavorable aux intérêts de l’organisation ou du groupe autorisé.
  2. Peut-être transmis à d’autres organisations de la même communauté.
  3. Guide utilisateur, certains numéros directs de téléphone, procédure de fonctionnement.
  4. Utilisation et transmission libre en interne, la protection doit être assurée en cas de transmission externe.
Vert

À l'échelle de l’organisation. Circulation, ne peut être publié ou affiché sur Internet, ni publié à l'extérieur de l’organisation.
PU, Public
  1. Information dont la divulgation n’est généralement pas préjudiciable.
  2. Peut circuler librement, car accessible en dehors de l’organisation.
  3. Publications diverses, contenu informatif d’un site internet..
  4. Pas de contraintes sur l’utilisation ou la transmission.
 Blanc

Illimité, soumis aux règles standard du droit d'auteur, les informations WHITE peuvent être distribuées librement, sans restriction.

Intégrité

Le schéma suivant indique l’abréviation officielle, le nom et une description des classes d’intégrité.

Catégorie 1) Impact, 2) Gestion, 3) Exemple, 4) Outils
VIT, Vital
  1. La modification pourrait engendrer des pertes importantes pour l’organisme ou permettrait à l’auteur de la modification de s’enrichir considérablement.
  2. Des procédures formelles de contrôle périodique sont mises en œuvre très souvent (environ une semaine à un mois maximum).
  3. Courrier "DHL", système de GED, configuration des serveurs ou éléments de stockage, lignes téléphoniques.
  4. Utilisation de la signature, coffre fort.
IMP, Important
  1. La modification pourrait engendrer des pertes d’efficacité ou des coûts de redressements notables.
  2. Des procédures formelles de contrôle périodique sont mises en œuvre souvent. (environ 3 mois).
  3. Courrier recommandé, email chiffré, configuration des postes clients (PC, laptop, PDA, etc.).
  4. Limitation des droits d’accès.
NOR, Normal
  1. Il n’y a pas de contraintes supplémentaires de sécurité en plus de la protection de confidentialité.
  2. Des procédures de contrôle périodique sont mises en œuvre régulièrement. (environ 6 mois à 1 an).
  3. Courrier interne, email, consultation Internet, etc.).
  4. Pas de contraintes sur l’utilisation ou la transmission.

Disponibilité

La disponibilité est exprimée en fonction du temps de réparation estimé en cas de panne.

Catégorie Code catégorie Temps calendaire d’arrêt par an Temps ouvré d’arrêt par an
1 20J 1 mois +/- 20 jours
2 10J ½ mois 2 semaines
3 5J 1 semaine 5 jours
4 2.5J ½ semaine 2½ jours
5 1J 1 day 8 heures
6 0.5J ½ day 4 heures
7 0.1J 1 hour 1 heures