Sensibilisez vos employés à protéger l'actif informationel de l'organisation grâce la formation en sensibilisation à la sécurité.
À l'aide d'un programme de sensibilisation à la cybersécurité bien arrimé sur la culture et les besoins spécifiques de votre entreprise, la classification ou catégorisation des actifs informationnels s’avère être une étape essentielle dans le processus de gestion des risques informationnels. En effet, cette étape préalable permet de déterminer la criticité des actifs informationnels pour l’entreprise le tout, en fonction des 3 objectifs de sécurité de l’information soit la disponibilité, l’intégrité et la confidentialité. Cette information servira d’intrant à l’évaluation des risques et permettra d’assigner à chacun des actifs un niveau de protection approprié.
Privée ? Secrète ? Confidentielle ? Publique ?
L’information doit être traitée et protégée selon sa valeur et son niveau de confidentialité. Vos utilisateurs doivent connaître la différence et traiter correctement l’information en fonction de ses besoins en matière de protection.
Pour déterminer si l’information est confidentielle ou non, chacun doit se demander si sa divulgation non autorisée pourrait nuire considérablement à l’organisation et à sa réputation. Tous les documents doivent être classifiés, créés ou utilisés en fonction de leur valeur pour votre organisation, de leur sensibilité et de leur niveau de confidentialité.
Le niveau de confidentialité attribué à chaque document électronique ou papier doit être clairement identifié pour faciliter l’application des mesures de sécurité appropriées.
En terminant, en tout temps, il est important que la personne avec laquelle est partagée l’information sensible ait elle aussi le droit d’avoir accès à cette information.
Qui est responsable de la classification de l'information?
La classification d’un actif informationnel devrait être effectuée par le propriétaire ou détenteur de l’actif, qui est le gestionnaire de l’unité d’affaires responsable de l’actif. En effet, cette personne possède généralement une connaissance adéquate des impacts d’affaires advenant une perte de disponibilité, d’intégrité et de confidentialité de cet actif. Également, le détenteur connait les lois et réglementations assujetties à l’information de l’actif (ex. Loi sur la protection des renseignements personnels, PCI-DSS, etc.) ainsi que les conséquences d’y contrevenir.
Afin de réaliser la classification des actifs, la haute direction de l’entreprise devrait mandater un responsable, fournir les ressources requises à la réalisation de ce projet et communiquer formellement son appui. En effet, des efforts non négligeables devront être consentis pour mener à terme ce projet. Notamment, les détenteurs et gestionnaires de l’entreprise devront être mis à contribution afin de décrire les processus de leur unité d’affaires et de ressortir les différentes informations (ou familles d’information) qui y sont exploitées (incluant les intrants, les extrants, l’endroit où se trouve l’information, etc.). Par la suite, ces gestionnaires pourront attribuer les cotes d’impacts pertinentes aux actifs dont ils sont propriétaires.
Deux différentes méthodes de classification de l'information
Il existe différentes méthodes de classification de l’information. Une première consiste à définir une matrice de 3 ou 4 niveaux d’impact pour chaque élément du DIC (« Disponibilité », « Intégrité », « Confidentialité »). Chaque niveau est décrit (cote 1 = impact minime, cote 4 = impact très grave) avec des exemples ou barèmes spécifiques à l’organisation, afin de réduire les ambiguïtés et d’éviter les interprétations lors de l’attribution de la cote.
Une seconde méthode consiste à mettre en priorité les critères d’impact le plus important pour l’organisation et d’établir un arbre de décision (pour chaque élément du DIC). Prenons l’exemple d’une entreprise qui a établi que ses deux critères les plus élevés sont « perte financière importante » et « arrêt des services impactant significativement les clients ». Alors, la cote la plus élevée sera attribuée si un de ces deux critères est atteint advenant la perte de disponibilité de l’information. Cela signifiera que cet actif est critique, pour l’élément de la disponibilité (ex. cote = 4).
L'analyse de risques pour les actifs critiques
L’exercice de classification permet d’optimiser les efforts de l’analyse de risques. En effet, cette analyse pourrait s’effectuer prioritairement sur les actifs les plus critiques, identifiés lors de la classification.
Également, lors de l’évaluation des risques, on utilisera la valeur de l’actif (ou la conséquence financière de la perte de celui-ci), identifiée lors de la classification, afin de justifier la mise en place de contrôles appropriés. Ainsi, un risque pourrait être accepté si le coût de mise en place d’un contrôle de sécurité s’avère supérieur à la valeur de l’actif (ou conséquence de la compromission). Un actif critique pour l’organisation nécessitera généralement des mesures de protection plus élevées. Le tout démontre l’importance de classifier correctement les actifs informationnels de l’entreprise.
Sensibilisez les utilisateurs à protéger l'actif informationel de l'organisation
Le cours Classification de l’information permettra à votre personnel de:
- Comprendre pourquoi les organisations classifient leurs informations,
- S’exercer à classifier les informations selon leur niveau de sensibilité,
- Appliquer les bonnes pratiques associées au traitement de l’information en fonction de son niveau de classification.