đïž Doctrine - Identifier la dĂ©marche adaptĂ©e
Lâeffort de sĂ©curisation et la dĂ©marche dâhomologation doivent ĂȘtre proportionnĂ©s aux besoins de sĂ©curitĂ© dâun systĂšme dâinformation. Plus la criticitĂ© et lâexposition au risque dâun systĂšme sont Ă©levĂ©s, plus lâeffort de sĂ©curisation sera important et la dĂ©marche dâhomologation exigeante.
Afin dâidentifier lâeffort de sĂ©curisation nĂ©cessaire et la dĂ©marche dâhomologation adaptĂ©e, les besoins de sĂ©curitĂ© dâun systĂšme doivent ĂȘtre Ă©valuĂ©s en mettant en regard deux enjeux :
La criticitĂ© du systĂšme, Ă©tablie sur la base dâune Ă©valuation des impacts pour lâorganisation dâune atteinte Ă la confidentialitĂ©, Ă lâintĂ©gritĂ© ou Ă la disponibilitĂ© dâun systĂšme. Ces impacts peuvent ĂȘtre par exemple de nature juridique, financier, rĂ©putationnel. Ces impacts pouvant ĂȘtre identifiĂ©s dans le cadre de lâanalyse de risques.
Lâexposition aux sources de risques dâun systĂšme, incluant mais ne se limitant pas Ă son exposition depuis Internet.
Dans ce dernier cas de figure, 4 niveaux dâexposition sont identifiĂ©s :
a. Nul : aucune connexion réseau (« stand alone »), accÚs aux seules personnes habilitées.
b. Faible : ouverture à des réseaux maßtrisés, accessibles à des personnes habilitées
c. Important : indirectement ouvert à des réseaux non maßtrisés, accÚs nomades limités.
d. Total : ouverture complĂšte sur internet.
La rencontre entre ces deux critĂšres permet dâidentifier les besoins de sĂ©curitĂ© du systĂšme, Ă savoir les enjeux de sĂ©curitĂ© de ce dernier et lâeffort de sĂ©curisation qui devra ĂȘtre mis en Ćuvre en consĂ©quence.
Ainsi, dans le cas extrĂȘme ou la criticitĂ© dâun systĂšme serait maximale et son exposition absolument nulle, ses besoins de sĂ©curitĂ© seraient considĂ©rĂ©s comme « seulement » avancĂ©s.
Exemples de systĂšmes dâinformation selon les besoins de sĂ©curitĂ© :
3 niveaux de dĂ©marches doivent ĂȘtre mis en Ćuvre en fonction des besoins de sĂ©curitĂ© identifiĂ©s.
Quand bien mĂȘme les besoins de sĂ©curitĂ© dâun systĂšme auraient Ă©tĂ© identifiĂ© Ă un certain niveau (ex. Ă©lĂ©mentaire, modĂ©rĂ©), une organisation peut toujours librement choisir de mettre en Ćuvre une dĂ©marche de sĂ©curisation et dâhomologation plus exigeante.
Ăvaluer les besoins de sĂ©curitĂ© dâun systĂšme
Afin dâidentifier lâeffort de sĂ©curisation nĂ©cessaire et la dĂ©marche dâhomologation adaptĂ©e, les besoins de sĂ©curitĂ© dâun systĂšme doivent ĂȘtre Ă©valuĂ©s en mettant en regard deux enjeux :
La criticitĂ© du systĂšme, Ă©tablie sur la base dâune Ă©valuation des impacts pour lâorganisation dâune atteinte Ă la confidentialitĂ©, Ă lâintĂ©gritĂ© ou Ă la disponibilitĂ© dâun systĂšme. Ces impacts peuvent ĂȘtre par exemple de nature juridique, financier, rĂ©putationnel. Ces impacts pouvant ĂȘtre identifiĂ©s dans le cadre de lâanalyse de risques.
Lâexposition aux sources de risques dâun systĂšme, incluant mais ne se limitant pas Ă son exposition depuis Internet.
Dans ce dernier cas de figure, 4 niveaux dâexposition sont identifiĂ©s :
a. Nul : aucune connexion réseau (« stand alone »), accÚs aux seules personnes habilitées.
b. Faible : ouverture à des réseaux maßtrisés, accessibles à des personnes habilitées
c. Important : indirectement ouvert à des réseaux non maßtrisés, accÚs nomades limités.
d. Total : ouverture complĂšte sur internet.
La rencontre entre ces deux critĂšres permet dâidentifier les besoins de sĂ©curitĂ© du systĂšme, Ă savoir les enjeux de sĂ©curitĂ© de ce dernier et lâeffort de sĂ©curisation qui devra ĂȘtre mis en Ćuvre en consĂ©quence.
Ainsi, dans le cas extrĂȘme ou la criticitĂ© dâun systĂšme serait maximale et son exposition absolument nulle, ses besoins de sĂ©curitĂ© seraient considĂ©rĂ©s comme « seulement » avancĂ©s.
Exemples de systĂšmes dâinformation selon les besoins de sĂ©curitĂ© :
En dĂ©duire la dĂ©marche de sĂ©curisation et dâhomologation adaptĂ©e
3 niveaux de dĂ©marches doivent ĂȘtre mis en Ćuvre en fonction des besoins de sĂ©curitĂ© identifiĂ©s.
Quand bien mĂȘme les besoins de sĂ©curitĂ© dâun systĂšme auraient Ă©tĂ© identifiĂ© Ă un certain niveau (ex. Ă©lĂ©mentaire, modĂ©rĂ©), une organisation peut toujours librement choisir de mettre en Ćuvre une dĂ©marche de sĂ©curisation et dâhomologation plus exigeante.
Mis Ă jour le : 31/03/2025
Merci !