SANS FRAIS 1 877-777-6412

Catégorisation des actifs: la recette pour bien évaluer la valeur de votre entreprise

Aujourd’hui, nous aimerions vous parler d’un de nos sujet préférés car il fait vraiment partie des incontournables en matière de sécurité informatique : la catégorisation des actifs.

Pour vous offrir la meilleure compréhension possible, Martin M. Samson, consultant en conformité et sécurité chez Groupe Cyberswat, a accepté de faire un survol du sujet. Cette entrevue a donc pour but de vous informer sur la catégorisation des actifs, ce qu’elle signifie, les grands principes, et son importance en matière de sécurité de l’information.

Pour débuter, nous aimerions vous présenter davantage Martin.

Martin est un professionnel en sécurité et bien connu du marché québécois, CGEIT, CISM, CRISC et ISO 27001 lead auditor. Il possède une vaste expérience en gestion de projets informatiques.
Il est de plus très familier avec les contextes de l’organisation privée, gouvernementale et bancaire, et est titulaire d’un diplôme universitaire de 2e cycle à la faculté d’administration de l’Université de Sherbrooke en «Gouvernance, audit et sécurité des technologies de l’information».

En bref, on peut dire que la sécurité de l’information en entreprise, c’est vraiment sa tasse de thé. Voici donc ce qu’il a à nous dire sur la catégorisation des actifs.

Martin, peux-tu nous parler un peu des projets dans lesquels tu as été impliqué au cours des dernières années?

J’ai travaillé, dans les dernières années, auprès de plusieurs clients sur des mandats en lien direct avec la catégorisation des actifs. Mon rôle a été d’implémenter ou d’améliorer/optimiser les méthodes de catégorisation des actifs, afin que la gestion de la sécurité soit plus rentable pour les entreprises.

J’ai aussi participé à l’élaboration d’un système de catégorisation des actifs très novateur dans le domaine du transport.

En terme de taille d’entreprises, j’ai surtout travaillés avec des grandes entreprises. Il y a cependant un projet chez Cyberswat visant à simplifier la façon de catégoriser l’information afin que le tout soit réalisable également en PME.

Peux-tu maintenant nous aider à définir cette notion qu’est la catégorisation des actifs?

 La catégorisation des actifs représente la base de la sécurité de l’information. C’est grâce à elle que l’on va réussir à investir le budget de sécurité de façon adéquate. En réalisant cette catégorisation, on identifie les systèmes et données qu’ils contiennent et les classer par ordre d’importance. Les plus importants, surnommés les « Crown Jewells », doivent être très sécurisés.

Il faut savoir aussi que les systèmes et données les plus importants qui doivent être protégés en priorité varient d’une entreprise à une autre. On n’accorde pas la même importance aux mêmes données que l’on soit une PME ou une grande entreprise par exemple. Il y aura également des ajustements selon le type de produit ou service que l’on vend. Les aspects légaux de chaque PME peut faire varier les besoins de sécurisation. C’est pourquoi ils doivent être tenus en compte lors de l’exercice de catégorisation.

Quels sont les grands principes reliés à la catégorisation des actifs?

Le premier principe serait de regarder les données en terme de Disponibilité, Intégrité, Confidentialité (DIC), et évaluer les conséquences à prévoir si ces critères de données n’étaient pas remplis. On va se demander par exemple : que se passerait-il si ma donnée n’était plus intègre/confidentielle/disponible? L’entreprise risquerait-elle des poursuites? Un compétiteur serait-il en possession d’information lui donnant un avantage?

Voici un exemple de la manière dont on peut présenter la cote de catégorisation en fonction des trois composantes de la sécurité :

On attribue alors un code à chaque système de données qui va l’identifier selon son importance et les composantes DIC (1 pour le moins important, 4 pour un système ayant un impact très élevé). Chaque code donne une indication sur les mesures à prendre pour arriver au niveau de sécurité adéquat. Plus la cote de catégorisation sera élevée, plus on voudra mettre en place des mécanismes de sécurité qui permettront de protéger l’actif adéquatement.

Exemple de cote de Catégorisation :

On va aussi établir des paramètres minimaux de sécurité nécessaires si un nouveau système est mis en place afin de s’assurer que les données de ce dernier soient bien sécurisées dès le départ.

Enfin, le dernier principe est de s’assurer que la méthode soit reproductible. On s’assure ainsi que la catégorisation des actifs soit faite de manière uniforme dans tous les systèmes.

Est-ce important de faire une catégorisation des actifs avant l’analyse de risques?

 En un mot : oui!

Une bonne catégorisation des actifs est vraiment à la base de la sécurité de l’information. Pour pouvoir investir là où c’est le plus rentable et nécessaire, il faut exécuter cette catégorisation au préalable. Sinon, le risque global augmente et les pertes monétaires pourraient être élevées en cas d’incident.

En catégorisant les actifs au départ, on permet d’investir à la bonne place. Ainsi, on minimise les risques et on réduit les coûts d’analyse de risques.

Qui dans l’organisation est responsable d’évaluer la valeur des systèmes et données qu’ils contiennent?

C’est au propriétaire des systèmes de réaliser une évaluation DIC. Une fois cette étape complétée, elle sera validée par le responsable de la sécurité de l’information. Ce dernier se doit de garder un registre centralisé (registre d’autorité).  Le registre d’autorité regroupe tous les systèmes de l’entreprise avec le code DIC qui y est rattaché.

La catégorisation des actifs est un outil de sécurité « vivant ». Il faudrait la mettre à jour à chaque phase de développement d’un système (ex : migration de données sur le Cloud). Elle doit évoluer en même temps que les systèmes.

Pour conclure, la catégorisation des actifs permet d’établir la valeur des systèmes et des données qui y sont contenues. Il apparait en effet impossible de protéger quelque chose adéquatement si au départ on n’a aucune idée de sa valeur!

Et si la protection comporte des failles, c’est là qu’on s’expose à des coûts à court, moyen et long terme.

Si vous souhaitez à votre tour mettre en place ou optimiser une méthode de catégorisation des actifs pour votre entreprise, contactez-nous!

Enfin, nous vous annonçons en avant-première que Martin sera présent en tant que conférencier le 7 juin prochain, lors de l’événement IT Connect du Champlain College Saint-Lambert. On vous en reparlera davantage au cours des prochains mois!

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.