Actifs

En quelques mots

Par ‘actif’, l’on comprend un bien ou un service ayant une certaine valeur pour l’entreprise. Les actifs sont sujets à différentes vulnérabilités, susceptibles d’être exploitées par des menaces qui auront des impacts au niveau de l’entreprise. Pour protéger ses actifs, une entreprise mettra en place des mesures de sécurité. La sélection de ces mesures se fait lors de la phase de gestion des risques.

On distingue entre:

• actifs primaires: processus et informations

• actifs de support: tous les autres actifs comme notamment les personnes, machines, …

Les actifs primaires

Par actifs primaires, on entend les processus métiers ainsi que les informations de l’organisme. Chaque actif primaire présente une certaine criticité pour l’organisme. Ainsi il y a des processus métier plus ou moins importants, il y a des processus métier ou l’intégrité joue un rôle plus important que la confidentialité (service du cadastre) et ainsi de suite. Il en est de même pour les informations. Il y a des informations très importantes et moins importantes. Il y a des informations ou la confidentialité est plus importante que la disponibilité.

L’analyse de risques est en faite calculée sur base de la criticité des actifs primaires. Les actifs de support nécessaires à la réalisation ou des processus métier héritent de la criticité des actifs primaires.

Les actifs de support

EBIOSv2 propose une catégorisation des entités et des actifs de support autour de 7 types:

1. MAT : Matériel

2. LOG : Logiciel

3. RES : Réseau

4. PER : Personne

5. PHY : Site

6. ORG : Organisation

7. SYS : Système

Matériel

Le type ‘matériel’ est constitué de l’ensemble des éléments physiques d’un système informatique. (PME: Voir le matériel face aux menaces)

• MAT_ACT : Support de traitement de données (actif) Équipement informatique de traitement automatique de données comprenant les éléments nécessaires à son fonctionnement autonome.

  • MAT_ACT.1 : Matériel transportable Matériels informatiques conçus pour être déplacés manuellement et utilisés en des lieux différents.

  • MAT_ACT.2 : Matériel fixe Matériels informatiques appartenant à l’organisme ou utilisés dans les locaux de l’organisme.

  • MAT_ACT.3 : Périphérique de traitement Matériel connecté à un ordinateur par un port de communication (série, parallèle, USB …) pour la saisie, le transport ou l´émission de données.

• MAT_PAS : Support de données (passif) Il s’agit de supports de stockage d’informations ou de fonctions.

  • MAT_PAS.1 : Support électronique Supports électroniques connectables à un ordinateur ou à un réseau informatique pour le stockage de données. De petite taille, ils sont susceptibles de contenir de grand volume de données. Ils sont utilisables à partir d’équipement informatique standard.

  • MAT_PAS.2 : Autres supports Support statique non électronique contenant des données.

Logiciel

Le type ‘logiciel’ est constitué de l’ensemble des programmes participant au fonctionnement d’un ensemble de traitements de l’information. (PME: Voir le logiciel face aux menaces)

• LOG_OS : Système d’exploitation Ce libellé comprend l’ensemble des logiciels d’un ordinateur constituant le socle opérationnel sur lequel vont s’exécuter l’ensemble des autres logiciels (services ou applications). Il comprend un noyau et des fonctions ou services de base. Selon les architectures, un système d’exploitation peut être monolithique ou constitué d’un micro-noyau et d’un ensemble de services systèmes. Le système d’exploitation contient principalement tous les services de gestion du matériel (CPU, mémoire, disques, périphériques et interfaces réseaux), ceux de gestion des tâches ou processus, et ceux de gestion des utilisateurs et de leurs droits.

• LOG_SRV : Logiciel de service, maintenance ou administration Logiciel qui se caractérise par le fait qu’il complète les services du système d’exploitation et qu’il n’est pas au service direct des utilisateurs ou des applications (même s’il est le plus souvent essentiel ou même indispensable au fonctionnement global du SI).

• LOG_STD : Progiciel ou logiciel standard Les logiciels standards ou progiciels sont de véritables produits commercialisés comme tels (et non des développements uniques ou spécifiques) avec support, version et maintenance. Ils rendent des services « génériques » aux utilisateurs et applications, mais ne sont pas personnalisés ou spécifiques comme des applications métier.

• LOG_APP : Application métier

  • LOG_APP .1 : Application métier standard Il s’agit de logiciels du marché dont la finalité est de fournir directement aux utilisateurs les services et fonctions qu’ils attendent de leur système d’information dans le cadre de leur métier. Les domaines sont multiples et par définition sans limite.

  • LOG_APP .2 : Application métier spécifique Il s’agit de développements spécifiques (ce qui impacte notablement les aspects de support, maintenance, évolution…) dont la finalité est de fournir directement aux utilisateurs les services et fonctions qu’ils attendent de leur système d’information dans le cadre de leur métier. Les domaines sont multiples et par définition sans limite.

Réseau

Le type ‘réseau’ est constitué de l’ensemble des dispositifs de télécommunication permettant l’interconnexion de plusieurs ordinateurs ou composants d’un système d’information physiquement éloignés.

• RES_INF : Médium et supports Les médiums ou supports de communication et de télécommunication comprennent principalement les caractéristiques physiques et techniques du support (point à point, diffusion) et les protocoles de communication (lien ou réseau – niveau 2 et 3 du modèle OSI à 7 couches).

• RES_REL : Relais passif ou actif Ce sous-type comprend tous les dispositifs qui ne sont pas des terminaisons logiques des communications (vision SI), mais des intermédiaires ou relais. Ces relais comportent du matériel mais souvent des logiciels ad-hoc. Ils se caractérisent par les protocoles de communication –réseau– supportés. Ils comportent souvent, en plus du simple relais, des fonctions et services de routage (aiguillage des communications) et/ou de filtrage (filtres dans les routeurs). Ils sont souvent administrables à distance et parfois capables de générer des traces (journaux).

• RES_INT : Interface de communication Il s’agit des interfaces de communication des unités de traitement. Elles y sont rattachées, mais se caractérisent par les média et protocoles supportés, par les éventuelles fonctions et capacités de filtrage, de génération de journaux ou d’alerte et par la possibilité et le besoin d’administration à distance.

Personnel

Le type ‘personnel’ est constitué de l’ensemble des groupes d’individus en relation avec le système d’information. (PME: Voir le personnel face aux menaces)

• PER_DEC : Décisionnel Il s’agit des propriétaires des éléments essentiels (informations et fonctions) ainsi que des responsables hiérarchiques au sein de l’organisation ou d’un projet spécifique.

• PER_UTI : Utilisateurs Il s’agit des personnes qui manipulent des éléments sensibles dans le cadre de leur activité et qui ont une responsabilité particulière à cet égard. Elles peuvent disposer de privilèges particuliers d’accès au système d’information pour assurer leurs tâches quotidiennes.

• PER_EXP : Exploitant / Maintenance Il s’agit des personnes en charge de l’exploitation et de la maintenance du système d’information. Elles disposent de privilèges particuliers d’accès au système d’information pour assurer leurs tâches quotidiennes.

• PER_DEV : Développeur Il s’agit des personnes en charge du développement des applications au sein de l’organisme. Ils accèdent à une partie du système d’information avec des privilèges avancés mais n’agissent pas sur les données de production.

Organisation

Le type ‘organisation’ décrit le cadre organisationnel, constitué de l’ensemble des structures de personnel affecté à une tâche et des procédures régissant ces structures.

• ORG_DEP : Organisation dont dépend l’organisme Il s’agit d’organisations dont dépend l’organisme étudié, qu’il y soit juridiquement rattaché ou externe. L’organisme étudié est alors contraint en termes de réglementation, de décisions, d’actions voir de remontée d’informations.

• ORG_GEN : Organisation de l’organisme Il s’agit des différentes branches de l’organisme rattachées à sa direction, y inclue les activités transversales.

• ORG_PRO : Organisation d’un projet ou d’un système Il s’agit de l’organisation de la mise en place d’un projet ou d’un service particulier.

• ORG_EXT : Sous-traitant/Fournisseurs/Industriels Il ‘sagit de l’organisation autour de fournisseurs de services, ou de ressources humaines liées par contrat à l’organisme

Site

Le type ‘site’ est constitué de l’ensemble des lieux contenant tout ou une partie du système et les moyens physiques nécessaires à son fonctionnement. (PME: Voir l’infrastructure face aux menaces)

• PHY_LIE : Lieu Périmètre, enceinte physique.

  • PHY_LIE.1 : Externe Il s’agit de tous les lieux dans lesquels les moyens de sécurité de l’organisme ne peuvent être appliqués

  • PHY_LIE.2 : Locaux Ce lieu est délimité par le périmètre de l’organisme directement en contact avec l’extérieur. Il peut s’agir d’un périmètre de protection physique obtenu en installant des barrières physiques, ou en utilisant des moyens de surveillance autour du/des bâtiment(s).

  • PHY_LIE.3 : Zone Il s’agit d’un périmètre de protection physique offrant un cloisonnement des locaux dans l’organisme. Il est obtenu en créant des barrières physiques autour des infrastructures de traitement de l’information de l’organisme.

• PHY_SRV : Service essentiel Ensemble de services nécessaires au fonctionnement des matériels dans l’organisme.

  • PHY_SRV.1 : Communication Services et équipement de télécommunication fournis par un opérateur.

  • PHY_SRV.2 : Énergie Services et moyens (sources et câblage) nécessaires à l’alimentation du matériel informatique et périphérique.

  • PHY_SRV.3 : Refroidissement /pollution Services et moyens (matériel, conduite) de refroidissement et de purification de l’air.

Système

Le type ‘système’ est constitué de l’ensemble des installations spécifiques liées aux technologies de l’information, dans un environnement opérationnel, et avec un objectif particulier. Il est composé de diverses entités appartenant aux autres types décrits ci-avant.

• SYS_INT : Dispositif d’accès Internet Dispositif composé de l’interconnexion entre le réseau de l’organisme et le réseau Internet et offrant les services d’accès depuis ou vers l’Internet.

• SYS_MES : Messagerie Dispositif permettant aux utilisateurs habilités la saisie, la consultation différée et la transmission, sur des ordinateurs connectés en réseau, de documents informatisés ou messages électroniques.

• SYS_ITR : Intranet Données et services informatiques partagés et privés, qui utilisent les protocoles de communication et les technologies fédératrices (technologie d’Internet par exemple).

• SYS_ANU : Annuaire d’entreprise Dispositif de gestion et d’accès à une base de données décrivant le personnel de l’entreprise et leurs caractéristiques.

• SYS_WEB : Portail externe Un portail externe est un point d’accès dont un utilisateur se servira pour trouver de l’information ou un service concernant un organisme. Les portails fournissent un grand éventail de ressources et de services.