Pour faire face aux menaces actuelles, il est nécessaire de mesurer la sécurité de votre système d’information à l’aune des enjeux et des risques qui pèsent sur vos données. Vous devez alors définir le niveau de sécurité de votre SI et évaluer si les actifs qui le composent sont correctement sécurisés. Pour vous aider dans cette démarche, l’analyse de risque DICP prend en compte les différents besoins de sécurisation de votre système et les hiérarchise. Vous analysez alors les risques numériques selon leur disponibilité, leur intégrité, leur confidentialité et leur preuve.
Retour sur les fondamentaux de la méthodologie de classification recommandée par l’ANSSI, accompagné d’une application concrète de cette matrice de gestion des risques.
Les 4 critères de sécurité de l’analyse de risque DICP
La méthodologie DICP est utilisée par les équipes de gestion de risques et les experts en gestion de la cybersécurité à travers le monde. Elle permet de garantir un certain niveau de sécurité informatique et de traçabilité des contrôles, mais aussi d’en fournir la preuve.
Ce référentiel regroupe 4 facteurs fondamentaux :
- la disponibilité (D),
- l’intégrité (I),
- la confidentialité (C),
- la preuve (P).
- Quand avez-vous besoin de cette donnée ?
- Quel est votre usage de cette donnée ?
- Sous combien de temps devez-vous obtenir l’information ?
- Pendant combien de temps cette donnée peut-elle être indisponible sans perturber votre organisation ?
- Quelle serait la conséquence de la perte de cette donnée ?
Les réponses à ces questions vous permettent de déterminer le niveau de disponibilité de la donnée. Une disponibilité élevée signifie que les informations doivent être constamment accessibles par un utilisateur autorisé et qu’une perte d’accès aux données ne peut pas être envisagée.
La conséquence directe de cette exigence de disponibilité réside dans le fait que le matériel, l’infrastructure technique et les systèmes qui conservent et affichent les données doivent être maintenus de manière à garantir une continuité de service quelle que soit la menace (climatique, incendie, erreur humaine, vol, cyberattaque).
- Quelle est la durée de vie de votre donnée ?
- À quel point est-ce important que la donnée soit fiable ?
- Avez-vous plusieurs mises à jour de la donnée à effectuer dans votre système d’information pour garantir sa fiabilisation ?
- Qui peut modifier la donnée, et dans quel cas ?
Autant de questions qui vous renseignent sur votre besoin d’intégrité.
Un système est intègre lorsque les données sont exactes, exhaustives et cohérentes. D’après l’ANSSI, l’intégrité est une « propriété d’exactitude et de complétude des biens et des informations ». Cela signifie que toute modification non légitime, provenant d’un dysfonctionnement technique, d’une erreur humaine ou d’un acte malveillant, doit pouvoir être détectée et corrigée.
Par exemple, le niveau de fiabilité d’une donnée de santé ou d’une donnée financière est maximal. Les systèmes d’information doivent alors garantir que les informations sont inaltérables dans le temps, et ce, quel que soit le lieu de stockage et d’affichage de la donnée. La sécurité des données est alors renforcée afin de garantir le niveau d’intégrité exigé.
Qui est autorisé à accéder à l’information ? C’est la seule question à vous poser !
La confidentialité des données permet de réserver l’accès aux informations uniquement aux personnes dûment habilitées. Régulièrement, voire tous les jours, nous sommes amenés à manipuler des données confidentielles : informations protégées par le secret médical, données sensibles, bulletins de salaire, informations stratégiques, brevets informatiques, bilan comptable, stratégie d’entreprise, données soumises à obligation légale ou réglementaire de confidentialité…
Ces quelques exemples nous donnent alors une vision de la complexité de traitement de la donnée en entreprise et de la diversité des niveaux de confidentialité attendus entre salariés et sous-traitants.
- Comment démontrer que la donnée est sécurisée ?
- Quelle est la traçabilité des actions menées ?
- Comment certifier l’authentification des utilisateurs ayant accès à la donnée ?
- En cas de problème, comment remonter à la source ?
- Qui est responsable des actions effectuées sur la donnée ?
Longtemps appelée DICT avec un T pour « traçabilité », la méthode DICP a vu son quatrième critère remplacé par la notion de « preuve ». Cet item est plus vaste que la seule traçabilité. D’après l’ANSSI, la preuve permet de retrouver « avec une confiance suffisante, les circonstances dans lesquelles ce bien évolue ». En cas de dysfonctionnement ou d’incident de sécurité, la preuve va servir de point de départ à l’investigation. Cette notion est extrêmement importante dans le cas de la signature électronique ou de transactions financières par exemple.
Après avoir redéfini les termes théoriques de cette méthodologie de classification et d’évaluation du risque cyber, passons à du concret avec des exemples d’applications.
La mise en application de la matrice DICP
Pour évaluer si un bien, un service ou bien encore une donnée est bien sécurisé, il est nécessaire de réaliser un audit préalable de son niveau de disponibilité, d’intégrité, de confidentialité et de preuve. D’accord, mais… Concrètement, comment mettre en place la matrice DICP au sein de votre organisation ?
Selon le secteur d’activité et l’information à sécuriser, l’importance accordée à chacun des critères DICP et les actions à mettre en œuvre varieront.
L’évaluation de ces 4 notions se fait selon une valeur numérique comprise entre 0 et 4, où 0 correspond à une criticité faible et 4 à une criticité très forte. Une note de 0 à 4 sera appliquée respectivement aux 4 critères DICP.
Par exemple, un résultat présenté sous la forme « DICP = 4, 1, 0, 4 » correspondra à une très forte disponibilité et des preuves importantes, mais une intégrité et une confidentialité faibles.
Si vous mettez tous les critères d’évaluation à 4, vous aurez certes un niveau de sécurité drastique, mais est-ce nécessaire et avez-vous les budgets correspondant à une telle exigence ? Il est donc important d’auditer avec objectivité les actifs ou les données à sécuriser.
Prenons maintenant l’exemple d’un site internet à sécuriser et démarrons en préambule par lister quelques questions à avoir en tête lors de l’analyse de risque.
- Quelles menaces ciblent potentiellement la sécurité du site web ?
- Les risques financiers sont-ils bien pris en compte dans l’évaluation des risques ?
- Quel niveau de sécurité des applications est nécessaire ?
- Quels sont les besoins de chiffrement des données ?
- Est-ce que les normes ISO et la conformité réglementaire sont respectées ?
- Failles de sécurité, vulnérabilités, piratage informatique… Quels sont les risques opérationnels ?
La matrice DICP pourrait alors être de 4, 4, 0, 0.
La disponibilité du site internet se doit d’être très élevée car les utilisateurs doivent pouvoir le consulter à toute heure. Toute interruption de service entraîne un manque de chiffre d’affaires dans le cas d’un site e-commerce. Il sera donc attribué un 4 sur l’échelle de la disponibilité.
Le critère d’intégrité est également très élevé dans cet exemple. Le prix sur une fiche produit, l’adresse de contact, la présentation de l’entreprise… Toutes les informations contenues sur le site ou l’application digitale se doivent d’être exactes et non modifiables par un concurrent, par un ancien salarié en colère ou par un cyber-attaquant. Assurer l’intégrité des données du site web est alors évalué à 4.
La confidentialité des données est beaucoup moins importante s’il s’agit d’un site web vitrine (site institutionnel). En effet, les données affichées sur le web sont par définition accessibles à tous donc non confidentielles. Dans l’évaluation DICP, 1 sera affecté à la valeur confidentialité. En revanche, il serait de 4 si ces données sont celles d’un client dans le cas d’un site marchand. De ce fait, la protection des informations personnelles partagées par le client (adresse postale, coordonnées bancaires…) est un enjeu réglementaire pour l’entreprise.
Dans cet exemple, la preuve n’est pas un critère important. Le site internet fournit des informations sans que l’internaute ne puisse les modifier. La traçabilité des actions n’est alors pas un enjeu ici. La preuve pourrait être évaluée à 0.
En conclusion
Que cela soit pour cartographier et gérer vos données ou plus généralement pour piloter les risques sur votre SI, la matrice DICP s’avère être un outil indispensable d’aide à la décision qui vous permet de construire votre politique de sécurité avec une meilleure vision. Cette analyse des risques est fondamentale car elle aligne le métier et le RSSI sur les besoins de sécurité et des risques liés à son organisation.