Classification
 

L'identification et la classification des actifs font partie intégrante de la gestion des risques et représentent des composantes importantes pour la gestion de la sécurité de l'information (encore appelé: système de management de la sécurité de l'information - SMSI, voir ISO/IEC 27001). Elles définissent les besoins de sécurité en termes de confidentialité, disponibilité et intégrité.

Rédigez et faites appliquer une politique sectorielle sur la classification et maîtrise des ressources

Principes de classification

  • Plus l’impact d’une divulgation est important, plus la classification de confidentialité devra être élevée.

  • Plus l’impact d’une perte en cas de compromission d’un actif est important, plus la classification d’intégrité devra être élevée.

  • Plus l’impact en cas d’entrave prolongée à l’accès légitime à l'actif est critique, plus la classification de disponibilité devra être élevée.

Importance de la classification

La classification des actifs sert avant tout à établir une analyse des risques. En effet pour effectuer celle-ci, il est nécessaire de mettre en relation la criticité d'un actif (= niveau de classification - impact potentiel) avec les menaces et les vulnérabilités y associées.

La classification permettra de manière la plus objective possible d'évaluer les risques et d'établir un plan de traitement face à ceux-ci. Ainsi le bénéficiaire pourra s'assurer de la réduction des risques majeurs,  tout en considérant le niveau d'investissement disponible.

Schéma de classification

Chaque entreprise dispose d'actifs plus ou moins critiques pour assurer son bon fonctionnement. Parmi ces actifs, on compte des processus métier, des personnes, des informations et bien-sûr des machines. Afin de pouvoir mettre en place des mesures de sécurité efficaces et performantes, il est nécessaire de définir un niveau de protection à apporter à chacun des actifs.

Pour cette raison, il importe de procéder à une classification des actifs et de déterminer leur criticité quant au degré de confidentialité, d'intégrité et de disponibilité.

Confidentialité

Le schéma suivant indique l’abréviation officielle, le nom et une description des classes de confidentialité. Il fait aussi référence aux classes du schéma "Trafic Light protocol" défini par l’administration anglaise NISCC. Ces classes définissent des règles de distribution pour des informations utilisées au niveau de la protection des infrastructures critiques.

Catégorie

1) Impact, 2) Gestion, 3) Exemple, 4) Outils

Correspondance TLP

SE, Secret

  1. La divulgation pourrait nuire gravement aux intérêts de l’organisation.

  2. Gestion selon des procédures bien établies, stockée uniquement dans des emplacements chiffrés sous le contrôle exclusif du détenteur.

  3. Information classifiée par la loi (EU, OTAN, National, etc.), les mots de passe, l’information sensible.

  4. Utilisation de la cryptographie, coffre-fort, mémoire uniquement.

Rouge
 
Personal for named recipients only, mostly passed verbally or in person

CO, Confidentiel

  1. La divulgation pourrait nuire aux intérêts de l’organisation.

  2. Gestion selon des procédures bien établies, accès restreint à des personnes ayant un motif approuvé.

  3. Secret bancaire, données à caractères personnelles sensibles (santé), incidents de sécurité.

  4. Utilisation de la cryptographie, stockage local non partagé, gestion des autorisations d’accès formellement gérés.

Orange.
 
Limited distribution, within organization, but only on a ‘need-to-know’ basis.

RE, Restreint

  1. La divulgation pourrait être défavorable aux intérêts de l’organisation ou du groupe autorisé.

  2. Gestion sur base d’un contrat de travail ou d’un NDA, données à caractères personnelles (salaire), motivation partagée par un responsable de dossier.

  3. Documentation ou schéma de réseau interne, programme source.

  4. Utilisation de la cryptographie, gestion des autorisations d’accès strictement gérés.

Vert

Community wide. Circulation, may not be published or posted on the Internet, nor released outside of the community.

IN, Interne

  1. La divulgation pourrait être parfois défavorable aux intérêts de l’organisation ou du groupe autorisé.

  2. Peut-être transmis à d’autres organisations de la même communauté.

  3. Guide utilisateur, certains numéros directs de téléphone, procédure de fonctionnement.

  4. Utilisation et transmission libre en interne, la protection doit être assurée en cas de transmission externe.

 Vert

Community wide. Circulation, may not be published or posted on the Internet, nor released outside of the community.

PU, Public

  1. Information dont la divulgation n’est généralement pas préjudiciable.

  2. Peut circuler librement, car accessible en dehors de l’organisation.

  3. Publications diverses, contenu informatif d’un site internet.

  4. Pas de contraintes sur l’utilisation ou la transmission.

Blanc

Unlimited, subject to standard copyright rules, WHITE information may be distributed freely, without restriction.

Intégrité

Le schéma suivant indique l’abréviation officielle, le nom et une description des classes d'intégrité.

Catégorie 1) Impact, 2) Gestion, 3) Exemple, 4) Outils
VIT, Vital
  1. La modification pourrait engendrer des pertes importantes pour l’organisme ou permettrait à l’auteur de la modification de s’enrichir considérablement.
  2. Des procédures formelles de contrôle périodique sont mises en œuvre très souvent (environ une semaine à un mois maximum).
  3. Courrier « DHL », système de GED, configuration des serveurs ou éléments de stockage, lignes téléphoniques.
  4. Utilisation de la signature, coffre fort.
IMP, Important
  1. La modification pourrait engendrer des pertes d’efficacité ou des coûts de redressements notables.
  2. Des procédures formelles de contrôle périodique sont mises en œuvre souvent. (environ 3 mois).
  3. Courrier recommandé, email chiffré, configuration des  postes clients (PC, laptop, PDA, etc.).
  4. Limitation des droits d’accès.
NOR, Normal
  1. Il n’y a pas de contraintes supplémentaires de sécurité en plus de la protection de confidentialité.
  2. Des procédures de contrôle périodique sont mises en œuvre régulièrement. (environ 6 mois à 1 an).
  3. Courrier interne, email, consultation Internet, etc.).
  4. Pas de contraintes sur l’utilisation ou la transmission.

Disponibilité

La disponibilité est exprimée en fonction du temps de réparation estimé en cas de panne.

Catégorie Code
catégorie
Temps calendaire
d’arrêt par an
Temps ouvré
d’arrêt par an
1 20J 1 mois +/- 20 jours
2 10J ½ mois 2 semaines
3 5J 1 semaine 5 jours
4 2.5J ½ semaine 2 jours et demi
5 1J 1 jour 8 heures
6 0.5J ½ jour 4 heures ouvrés
7 0.1J 1 heure 1 heure