Afin de déterminer le périmètre d’action et de responsabilité en matière de CyberSécurité, il est primordial de connaitre la liste des actifs qui sont sous la responsabilité de l’équipe Sécurité, de les classifier et de retrouver dans cet inventaire des informations pertinentes. Cet inventaire est un pré-requis qui doit être validé et revue de façon régulière. Il sert de base à l’ensemble de l’activité Cyber, comme l’inventaire de risque.
Délimiter son périmètre : Où sont stockées les données ?
Pour délimiter l’inventaire des actifs et ainsi connaitre le périmètre, il faut se poser une question : Où sont stockées les données ? En interne, on liste : les applications usuelles, les applications utilisées, les applications non administrées (communément appelées Shadow IT), les actifs supports (Active Directory, messagerie…) et les partages. En externe, on inventorie : les services externalisés, avec qui on échange de la donnée et les services cloud. Il reste le BYOD, si les collaborateurs utilisent leur téléphone ou ordinateur pour travailler. Cet inventaire est alimenté par des entretiens et de regroupement d’informations.
Quelles responsabilités ?
Pour chaque actif, il convient de connaitre et de définir le propriétaire et ainsi que le responsable sécurité. Si le responsable sécurité est une autre personne (ex : service externalisé), cela n’empêche pas de contrôler le niveau de sécurité de cet actif par des audits, par exemple.
L’inventaire des actifs doit être validé par le propriétaire de l’actif et par la Direction Informatique. Cette validation permet de rendre légitime cet inventaire et les actions qui peuvent en découler. Cela permettra aussi de définir le périmètre d’activité.
Classifier : Selon quels critères ?
Ces actifs ainsi identifiés sont les supports des activités métiers qui peuvent être décomposés en processus métiers. Ces processus sont plus ou moins critiques, selon le chiffre d’affaires qu’ils rapportent, de leur visibilité, de la clientèle… Cet exercice va permettre d’identifier les processus métier, de les classifier par niveau de criticité et d’y rattacher les actifs supports.
Cette classification peut prendre en compte les critères métiers intrinsèques de l’application. Ces critères vont permettre d’évaluer la criticité de l’actif et ainsi de définir les exigences de sécurité spécifique de sécurité à mettre en œuvre. Communément, on classifie les actifs selon les 4 critères de sécurité (Confidentialité, Intégrité, Disponibilité, Traçabilité). On peut indiquer pour un actif s’il doit être contraint à des standards particuliers. Le respect de ces normes/reglementation apportent des contraintes supplémentaires qu’il faudra respecter. L’exposition d’un actif, permet aussi de prioritiser certaines actions, comme un test d’intrusion pour les applications exposées à des tiers ou au public ou des vulnérabilités à corriger rapidement.
Quelles sont les informations à intégrer dans l’inventaire ?
L’inventaire doit intégrer toutes les informations qui semblent pertinentes et utilisées dans le cadre de votre activité. A minima, il doit contenir : le nom de l’actif, une description, le propriétaire (avec un contact), le type d’actif (service externalisé, service managé…), les critères de sécurité, l’exposition de l’application, les normes ou réglementation à respecter. On peut aussi ajouter : les technologies utilisées et leur version (que l’on pourra utiliser en cas d’identification de vulnérabilité sur un composant), les dates des derniers audits… Pour la traçabilité du document, il ne faut pas oublier d’ajouter : une date de dernière revue, date de dernière modification et un commentaire pour tracer les changements réalisés.
Plus l’inventaire contient d’informations, plus il appuie sa valeur de référentiel mais plus il est difficile de le mettre à jour.
bonjour,
je pense qu’il ne faut pas se limiter aux actifs informatiques et prendre en compte tous les actifs du système d’information en fonction du périmètre défini et de la fonction de la personne concernée (un RSSI aura besoin de plus de types de données qu’un analyste). Il manque par exemple les actifs immatériels (compétence spécifique du personnel, brevet, etc.), les documents papiers (contrats, données RH, etc.), les processus métiers, etc.
Une documentation intéressante pour cartographier les actifs du système d’information : https://www.ssi.gouv.fr/administration/guide/cartographie-du-systeme-dinformation/