Aujourd’hui, nous aimerions vous parler d’un de nos sujets préférés, car il fait vraiment partie des incontournables en matière de sécurité informatique : la catégorisation des actifs.
Pour vous offrir la meilleure compréhension possible, Jean-Philippe Racine, Président de Groupe Cyberswat, a accepté de faire un survol du sujet. Cette entrevue a donc pour but de vous informer sur la catégorisation des actifs, ce qu’elle signifie, les grands principes, et son importance en matière de sécurité de l’information.
Pour débuter, nous aimerions vous présenter davantage Jean-Philippe.
Jean-Philippe est dans le domaine des technologies de l’information depuis 20 ans, dont 16 années exclusivement dédiées à la sécurité de l’information.
Il a commencé sa carrière dans des mandats opérationnels (gestion de serveurs et de coupe-feu, analyse quotidienne des vulnérabilités, tests d’intrusion de réseaux sans fil, etc.). Aujourd’hui, il réalise des mandats tactiques et stratégiques en sécurité de l’information.
En matière de formation, Jean-Philippe détient une maîtrise en administration, option gouvernance, audit et sécurité des TI, de l’Université de Sherbrooke. Il s’est également spécialisé en obtenant une belle collection de certifications, dont celle de Certified Information Systems Auditor (CISA), de Certified Information Systems Security Professional (CISSP) ainsi que le certificat de Cloud Security Knowledge (CCSK) du Cloud Security Alliance.
Jean-Philippe est réputé pour être un très bon vulgarisateur. Il sait emprunter le vocabulaire de ses interlocuteurs pour faire comprendre les concepts de cybersécurité à son audience.
En bref, on peut dire que la sécurité de l’information en entreprise, c’est vraiment sa tasse de thé. Voici donc ce qu’il a à nous dire sur la catégorisation des actifs.
Jean-Philippe, peux-tu nous parler un peu des projets dans lesquels tu as été impliqué au cours des dernières années?
J’ai travaillé, dans les dernières années, auprès de plusieurs clients sur des mandats en lien direct avec la catégorisation des actifs. Mon rôle a été d’implémenter ou d’améliorer/optimiser les méthodes de catégorisation des actifs, afin que la gestion de la sécurité soit plus rentable pour les entreprises.
J’ai aussi participé à l’élaboration d’un système de catégorisation des actifs très novateur dans le domaine du transport. J’ai pas la suite eu la chance de parfaire la méthode pour la simplifier dans le contexte des PME.
Peux-tu maintenant nous aider à définir cette notion qu’est la catégorisation des actifs?
La catégorisation des actifs représente la base de la sécurité de l’information. C’est grâce à elle que l’on va réussir à investir le budget de sécurité de façon adéquate. En réalisant cette catégorisation, on identifie les systèmes et données qu’ils contiennent et les classer par ordre d’importance. Les plus importants, surnommés les « Crown Jewells » ou encore les « systèmes critiques », doivent être très sécurisés.
Il faut savoir aussi que les systèmes et données les plus importants qui doivent être protégés en priorité varient d’une entreprise à une autre. On n’accorde pas la même importance aux mêmes données que l’on soit une PME ou une grande entreprise par exemple. Il y aura également des ajustements selon le type de produit ou service que l’on vend. Les aspects légaux de chaque PME peut faire varier les besoins de sécurisation. C’est pourquoi ils doivent être tenus en compte lors de l’exercice de catégorisation.
Quels sont les grands principes reliés à la catégorisation des actifs?
Le premier principe serait de regarder les données en terme de Disponibilité, Intégrité, Confidentialité (DIC), et évaluer les conséquences à prévoir si ces critères de données n’étaient pas remplis. On va se demander par exemple : que se passerait-il si ma donnée n’était plus intègre/confidentielle/disponible? L’entreprise risquerait-elle des poursuites? Un compétiteur serait-il en possession d’information lui donnant un avantage?
Voici un exemple de la manière dont on peut présenter la cote de catégorisation en fonction des trois composantes de la sécurité :
On attribue alors un code à chaque système de données qui va l’identifier selon son importance et les composantes DIC (1 pour le moins important, 4 pour un système ayant un impact très élevé). Chaque code donne une indication sur les mesures à prendre pour arriver au niveau de sécurité adéquat. Plus la cote de catégorisation sera élevée, plus on voudra mettre en place des mécanismes de sécurité qui permettront de protéger l’actif adéquatement.
Exemple de cote de Catégorisation :
On va aussi établir des paramètres minimaux de sécurité nécessaires si un nouveau système est mis en place afin de s’assurer que les données de ce dernier soient bien sécurisées dès le départ.
Enfin, le dernier principe est de s’assurer que la méthode soit reproductible. On s’assure ainsi que la catégorisation des actifs soit faite de manière uniforme dans tous les systèmes.
Est-ce important de faire une catégorisation des actifs avant l’analyse de risques?
En un mot : oui!
Une bonne catégorisation des actifs est vraiment à la base de la sécurité de l’information. Pour pouvoir investir là où c’est le plus rentable et nécessaire, il faut exécuter cette catégorisation au préalable. Sinon, le risque global augmente et les pertes monétaires pourraient être élevées en cas d’incident.
En catégorisant les actifs au départ, on permet d’investir à la bonne place. Ainsi, on minimise les risques et on réduit les coûts d’analyse de risques.
Qui dans l’organisation est responsable d’évaluer la valeur des systèmes et données qu’ils contiennent?
C’est au propriétaire des systèmes de réaliser une évaluation DIC. Une fois cette étape complétée, elle sera validée par le responsable de la sécurité de l’information. Ce dernier se doit de garder un registre centralisé (registre d’autorité). Le registre d’autorité regroupe tous les systèmes de l’entreprise avec le code DIC qui y est rattaché.
La catégorisation des actifs est un outil de sécurité « vivant ». Il faudrait la mettre à jour à chaque phase de développement d’un système (ex : migration de données sur le Cloud). Elle doit évoluer en même temps que les systèmes.
Pour conclure, la catégorisation des actifs permet d’établir la valeur des systèmes et des données qui y sont contenues. Il apparait en effet impossible de protéger quelque chose adéquatement si au départ on n’a aucune idée de sa valeur!
Et si la protection comporte des failles, c’est là qu’on s’expose à des coûts à court, moyen et long terme.
Si vous souhaitez à votre tour mettre en place ou optimiser une méthode de catégorisation des actifs pour votre entreprise, contactez-nous!
