Classification de l'information

Les actifs informationnels d'une organisation doivent être protégés contre les dommages et les pertes. Le besoin de mesures de sécurité diffère selon le type d'information. Le besoin de protection est régi, entre autres, par des exigences internes et externes et par les conséquences pour l'organisation et ses partenaires si l'information est diffusée à des personnes non autorisées ou si elle est modifiée ou rendue indisponible. 

Classification de l'information

Pour y parvenir efficacement, nous pouvons classer les informations en fonction de leur vulnérabilité sous différents aspects de la sécurité. Les informations les plus importantes et dont la perte ou l'endommagement aurait les plus grandes conséquences doivent bénéficier de la protection la plus forte. Les actifs informationnels moins importants et peu vulnérables peuvent bénéficier d'une protection plus simple et moins coûteuse, voire ne pas être protégés.

Dimensions de la sécurité

La nécessité de prendre des mesures de sécurité pour les différents actifs informationnels est examinée sur la base d'un certain nombre d'aspects de la sécurité.

Quatre aspects fondamentaux de la sécurité:

  • Confidentialité : Le contenu ne doit pas être divulgué ou mis à la disposition de personnes non autorisées

  • Integrité : Les informations ne doivent pas être modifiées autrement que pour l'usage prévu par le personnel autorisé. Les informations ne doivent pas être modifiées par des personnes non autorisées à cause d'une erreur ou d'un dysfonctionnement.

  • Disponibilité : Les informations doivent être utilisables dans la portée prévue et dans un délai raisonnable.

  • Traçabilité : L'information et ses modifications doivent être traçables.

Niveaux de conséquences

Sur la base de chacun de ces aspects de la sécurité, chaque actif informationnel est évalué en fonction des conséquences que pourrait avoir une protection inadéquate. Que se passe-t-il, par exemple, si un certain type d'information devait être divulgué à des personnes non autorisées. Quelle en serait la gravité sur une échelle ? Ou quelle serait la gravité de l'impossibilité d'accéder à une ressource d'information dans un certain laps de temps. Quelle serait l'ampleur des conséquences ?

Une échelle comportant trois niveaux différents de conséquences ou de protection se présente généralement comme suit:

  1. Consequences modérées : Réduction de la capacité à résoudre les tâches. Moins de dommages aux biens. Pertes financières mineures. Impact négatif limité sur les droits individuels. 

  2. Conséquences significatives : Réduction significative de la capacité à résoudre les tâches. Dommages importants aux actifs de l'entreprise. Pertes financières importantes. Impact négatif important sur les droits individuels.

  3. Conséquences graves : Limitation considérable de la capacité à résoudre des tâches. Dommages importants aux actifs de l'entreprise. Pertes financières importantes. Impact négatif grave sur les droits individuels.

La classification ci-dessus détermine le type de protection qui doit être accordé à chaque actif informationnel.

On peut également établir une classification plus simple avec deux niveaux différents de conséquences, par exemple des conséquences modérées et graves. On peut également avoir une classe appelée zéro (0), c'est-à-dire des conséquences nulles ou négligeables.

Modèle de classification sous forme de matrice

Sur la base des différents aspects de la sécurité - confidentialité, intégrité, disponibilité et traçabilité - et des différents niveaux d'impact - modéré, significatif et grave - on peut établir une matrice avec les aspects de la sécurité sur l'axe horizontal des abscisses et les niveaux d'impact sur l'axe vertical des ordonnées. On obtient alors une grille avec différentes cases où chaque élément d'information à classifier est placé dans la case qui doit s'appliquer à l'information.

Si, par exemple, l'organisation subit un préjudice grave du fait que des informations importantes deviennent accessibles à des personnes non autorisées, ces informations doivent être placées dans une classe (case dans la matrice) ayant un niveau de conséquences élevé en termes de confidentialité.

Le modèle avec la forme matricielle est décrit dans la publication de MSB

"Modèle de classification de l'information" qui peut être téléchargé sur Internet. Le moyen le plus simple est de chercher le nom de la publication sur Google.

Analyse du risque

Lorsque vous divisez les dommages ou pertes d'informations en niveaux de conséquences, vous examinez essentiellement les conséquences qui peuvent découler d'un dommage. Lorsque vous devez ensuite décider de la protection à accorder à certaines informations, vous devez également introduire une analyse des risques qui tient compte de la probabilité de réalisation d'un dommage.

Mise à jour

Comme dans tous les autres travaux relatifs à la sécurité, il est important de maintenir constamment à jour la classification des informations. Les nouvelles informations et les nouvelles priorités doivent être placées et mises à jour au bon niveau de conséquence pour les différents aspects de la sécurité.

Vous avez besoin d'aide pour votre cybersécurité ? En savoir plus sur nos examens de cybersécurité !