Activité 2.2 – Synthèse des besoins de sécurité
Liens pour Naviguer dans ce module
Accueil Module 2 Activité 2.1 Activité 2.2 Module 3 Exercices
Cette activité a pour but d'affecter aux éléments essentiels leurs besoins de sécurité qui résultent de la synthèse des valeurs attribuées par les utilisateurs. À l'issue de cette activité, il sera possible de disposer d'une vision objective et cohérente des besoins de sécurité du système cible. Il s'agit d'une activité contribuant à l'évaluation des risques dans le processus de gestion des risques.
Préalables
Données en entrée
-
Liste des éléments essentiels.
-
Liste de critères de sécurité.
-
Échelle de besoins.
-
Liste d'impacts.
Actions
-
Attribuer un besoin de sécurité par critère de sécurité (disponibilité, intégrité, confidentialité…) à chaque élément essentiel.
Données en sortie
-
Fiche de synthèse des besoins de sécurité.
Conseils pratiques
-
L'attribution de besoins de sécurité aux éléments essentiels représente la limite acceptable pour l'organisme.
-
L'estimation des besoins de sécurité représente la vision du système que peut avoir un utilisateur, il est important que celui-ci justifie les valeurs extrêmes de son point de vue pour ensuite effectuer une synthèse cohérente au niveau de l'organisme.
-
Dans la mesure du possible, les besoins de sécurité doivent tous être justifiés.
-
Les utilisateurs retenus pour l'appréciation des besoins de sécurité doivent être représentatifs en regard de l'utilisation du système. Ils doivent donc s'exprimer sur des éléments qu'ils utilisent habituellement.
-
Il est possible d'ajouter à la description fonctionnelle les besoins de sécurité de chacun des éléments essentiels en les superposant aux schémas. Ceci permet de mieux appréhender les éventuelles dépendances entre les valeurs de besoins de sécurité. En effet, les besoins de sécurité des fonctions et des informations sont parfois liés, ainsi que les fonctions entre elles et les informations entre elles. Ils peuvent se propager dès lors que les éléments sont liés.
L'activité 2.2
Concepts principaux
Les besoins de sécurité
Chaque élément essentiel a un besoin de sécurité pour que le métier fonctionne correctement.
Ce besoin de sécurité s'exprime selon différents critères de sécurité tels que la disponibilité, l'intégrité et la confidentialité. Si ce besoin n'est pas respecté, l'organisme en sera impacté. Cet impact peut revêtir différentes formes : pertes financières, atteinte au bon déroulement des activités, atteinte à l'image de marque, atteinte à la sécurité des personnels, pollution, etc.
Le groupe de travail
Pour mener à bien une étude EBIOS, un groupe de travail est requis et doit être constitué. . Ce groupe de travail devrait être hétérogène et représentatif des utilisateurs et propriétaires du système d'information (responsables, informaticiens et utilisateurs). Celui-ci va pouvoir discuter et établir un consensus sur les besoins de sécurité et de leur justification dans l'organisation.
Recueil des besoins de sécurité
Le recueil des besoins de sécurité est réalisé au moyen des fiches d'expression des besoins de sécurité et de l'échelle de besoins remises aux utilisateurs concernés. Les valeurs renseignées reflètent le point de vue des utilisateurs vis-à-vis de leur besoin de sécurité. Ce point de vue pourra être justifié par un commentaire (notamment pour des valeurs extrêmes). Une synthèse au niveau de la fiche doit être effectuée afin d'obtenir un vecteur de besoins de sécurité pour chaque élément essentiel.
Ce sont les utilisateurs eux-mêmes qui devront effectuer cette évaluation en exprimant les valeurs acceptables, un dépassement étant inacceptable. Ils affecteront une note à chaque intersection ligne colonne des fiches d'expression des besoins afin d'obtenir un vecteur disponibilité – intégrité – confidentialité… Cependant, les utilisateurs du système ne sont pas forcément des experts en sécurité de l'information, ni sensibilisés à la sécurité de l'information. Le groupe de travail ou les personnes qui réaliseront les interviews auprès de cette population ont donc un rôle important à jouer en s’assurant de la bonne compréhension de l’échelle de besoins et en s’assurant de l’homogénéité des résultats obtenus.
Les besoins de sécurité sont indépendants des risques encourus et des moyens de sécurité mis en oeuvre. Ils représentent donc une valeur intrinsèque de la sensibilité des informations, des fonctions ou des sous fonctions. Par exemple, dans le domaine de la défense, attribuer une valeur de confidentialité à des documents consiste à les classifier (secret défense, confidentielle défense...).
Si un élément essentiel a des besoins qui varient dans le temps, il convient d’étudier séparément ses différents états comme s’il s’agissait d’autant d’éléments essentiels.
Il est souhaitable de renseigner l'ensemble des fiches d'expression des besoins de sécurité si l'on veut obtenir des risques dont la formulation est précise quant à leur impact.
Synthèse des besoins de sécurité
Le groupe de travail renseigne les résultats obtenus auprès des utilisateurs sur la fiche de synthèse des besoins de sécurité et détermine la valeur considérée comme la synthèse. Cette synthèse, harmonisant les différents points de vue, est ensuite validée. Le validateur doit avoir une vision globale des éléments essentiels (par exemple par le responsable utilisateur, ou plus généralement le propriétaire des éléments essentiels). Un consensus peut être obtenu par expression des argumentaires de chacun et arbitrage. En dernier recours, on peut considérer que la synthèse du besoin de sécurité, selon les critères de sécurité d'un élément essentiel est le maximum des valeurs attribuées par les utilisateurs dans chacune des fiches.
Dans le cas où des divergences trop importantes apparaîtraient, il peut être nécessaire de demander aux utilisateurs de reconsidérer leurs valeurs ou de les expliciter davantage. La synthèse doit, dans tous les cas, être justifiée par rapport aux éléments importants de l'organisme mis en évidence lors de l'étude du contexte.
