Professional Documents
Culture Documents
CF170 Cours3 - Classification Infos-24janvier2024 - NewB
CF170 Cours3 - Classification Infos-24janvier2024 - NewB
Course # 3
La Classification de l’information
Polytechnique Montréal
2
Agenda de la séance
• L’information
• La classification de l’information
3
L’information
Actif informationnel : Tout document défini au sens de l’article 3 de la Loi concernant le
cadre juridique des technologies de l’information (LRQ, chapitre C-1.1).
À titre de rappel, cette loi définit le document comme étant : « Un ensemble constitué
d’information portée par un support. L’information y est délimitée et structurée, de façon
tangible ou logique selon le support qui la porte, et elle est intelligible sous forme de
mots, de sons ou d’images.
L’information peut être rendue au moyen de tout mode d’écriture, y compris d’un
système de symboles transcriptibles sous l’une de ces formes ou en un autre système de
symboles. [...] est assimilée au document toute banque de données dont les éléments
structurants permettent la création de documents par la délimitation et la structuration de
l’information qui y est inscrite. »
4
Classification de l’information
5
Classification de l’information
https://blog.netwrix.com/2020/09/02/data-classification/ 7
Classification de l’information
QUESTION? Exemples de cas d'utilisation des résultats du processus de
catégorisation de l’information.
À quels processus organisationnels les
résultats de la catégorisation peuvent-ils
servir d’intrants?
Le processus de catégorisation de
l’information sert d’intrant à d’autres
processus dans l’organisation.
Les résultats de l’exercice de catégorisation constituent un intrant fondamental à plusieurs processus concourant à la gestion de la sécurité
de l’information. À titre d’exemple, on peut citer :
✓ la gestion des risques de sécurité de l’information, laquelle établit des priorités de traitement des risques sur la base du degré de
sensibilité des actifs informationnels;
✓ le choix du fournisseur infonuagique en vue d’assurer la protection des actifs informationnels selon leur sensibilité;
✓ l’élaboration du plan d’action de sécurité de l’information, lequel accorde une plus grande priorité aux actifs informationnels importants
pour l’organisme;
✓ la vérification de l’adéquation des mesures de sécurité par rapport aux niveaux de criticité des actifs informationnels. 8
Classification de l’information
9
Classification de l’information
Concepts clés
• Niveaux d’impact
• Objet de catégorisation
• Niveau de granularité
• Registre de catégorisation
10
Classification de l’information
11
Classification de l’information
Concepts clés :Niveaux d’impact
Le niveau d’impact traduit l’importance des conséquences qu’un bris de sécurité d’un actif
informationnel peut avoir sur l’entreprise et sa clientèle ou sur d’autres organismes. Ces conséquences
peuvent se traduire par l’incapacité de l’organisme à :
• remplir sa mission;
• se conformer aux lois, aux règlements et aux obligations contractuelles;
• préserver son image de marque;
• maintenir ou rehausser la confiance de la clientèle et des partenaires à l’égard des services
offerts;
• préserver la vie, la santé ou le bien-être des personnes;
• respecter les droits fondamentaux des personnes à la protection des renseignements
personnels qui les concernent et de leur vie privée.
12
Classification de l’information
Les niveaux d’impact
Niveau 1 – Bas : impact négligeable
Ce niveau signifie que l’événement a des incidences d’ordre administratif plutôt négligeables qui sont traitées localement, sans
affecter l’organisme sur le plan global ou les autres organismes.
13
Classification de l’information
Les niveaux d’impact (suite)
Niveaux d’impact exprimés sur le plan de la DIC
a) Le temps
b) L’agrégation de l’information
c) Le périmètre de validité de la catégorisation
a) Le temps
La catégorisation de certains actifs informationnels est sensible au facteur « temps ». Un actif informationnel
peut avoir un niveau de confidentialité élevé pour une période donnée et être public par la suite. Dans ce cas,
il est recommandé de revoir la catégorisation de cet actif selon les étapes de son cycle de vie. Dans le cas où
cette révision n’est pas certaine, voire impossible, il est recommandé d’attribuer à l’actif le niveau d’impact le
plus élevé de son cycle de vie.
Exemple :Le niveau d’impact sur le plan de la confidentialité, associé au budget du gouvernement, avant
l'annonce officielle, pourrait prendre les valeurs 3 ou 4. Une fois le budget publié, cette valeur passe à 1.
15
Classification de l’information
Les niveaux d’impact (suite)
Facteurs influençant les niveaux d’impact
b) L’agrégation de l’information
Lorsqu’un objet de catégorisation contient des éléments de niveaux d’impact différents, c'est généralement le
niveau le plus élevé qui l'emporte.
Ainsi, un processus impliquant plusieurs actifs informationnels de niveaux d’impact différents peut être considéré
comme une agrégation de ces actifs et hériter du niveau d’impact le plus élevé.
De même, un objet de catégorisation peut hériter d’un niveau d’impact supérieur à ceux attribués individuellement
aux actifs informationnels qui le composent.
Exemple: La description physique d'un témoin important et son lieu de résidence, pris isolément,
peuvent être catégorisés comme étant de niveau « élevé » sur le plan de la confidentialité. Par contre,
l’objet réunissant ces deux éléments pourrait nécessiter un niveau d’impact « très élevé ».
Note : Lorsqu’un objet de catégorisation contient des éléments de niveaux d’impact différents, c'est le
niveau le plus élevé qui l'emporte.
Ainsi, un processus impliquant plusieurs actifs informationnels de niveaux d’impact différents peut être
16
considéré comme une agrégation de ces actifs et hériter du niveau d’impact le plus élevé.
Classification de l’information
Les niveaux d’impact (suite)
Facteurs influençant les niveaux d’impact
Les niveaux d’impact attribués aux objets de catégorisation d’un processus sont basés sur l’analyse du contexte
d’affaires définissant le périmètre de ce processus. Ils sont donc valides au sein de ce périmètre.
Pour s’assurer de la cohérence de ces niveaux d’impact à l’échelle de l’organisme, il y a lieu de procéder à leur
validation, en tenant compte des interrelations du processus en question avec les autres processus.
17
Classification de l’information
• un processus;
• un regroupement d’actifs
informationnels
• un actif informationnel.
Le choix du niveau de granularité est tributaire du contexte de l’organisation et du degré de précision souhaité pour
répondre à ses besoins en matière de sécurité de l’information.
Exemple: Un organisme souhaitant procéder à une analyse de risques de sécurité de l’information choisirait, pour
son exercice de catégorisation, le niveau de granularité
« regroupement d’actifs informationnels » au lieu de « processus ».
En revanche, pour élaborer des contrats de services en technologie de l’information, une catégorisation au niveau «
processus » serait suffisante.
Du choix du niveau de granularité dépend le nombre d’objets à catégoriser. En effet, plus la granularité est fine, plus
longue sera la liste des objets à catégoriser et plus importants seront les efforts à consentir pour réaliser la
catégorisation.
Selon la norme ISO 27005:2011, on identifie et classifie les actifs selon les grandes categories (objets de
categorisation) suivantes:
• L’information
• Les processus métier
• Les ressources humaines
• Les logiciels et applications Weber & Villedieu (2014)
19
• Les matériels, équipements, bâtiments, serveurs, réseau, firewall, etc.
Classification de l’information
Concepts clés: Registre de catégorisation
Le registre de catégorisation est un document qui permet une description détaillée des objets de
catégorisation. On y retrouve leurs principaux attributs tels que le libellé, l’unité administrative
responsable, le processus utilisateur, le détenteur, la localisation, le niveau d’impact sur le plan de la
DIC, la date de catégorisation, les références aux justificatifs d’attribution de niveaux d’impact, etc.
La gestion de ce registre est généralement confiée à une personne de l’organisme, soit le détenteur
du registre de catégorisation. Celui-ci est notamment chargé :
• d’y consigner les résultats de la catégorisation;
• de tenir à jour le registre et de s’assurer de la cohérence de son contenu; de veiller à la
sécurité et à la validité du registre;
• d’attribuer les autorisations d’accès au registre;
• de s’assurer périodiquement, auprès des détenteurs de l’information, que les niveaux
d’impact attribués aux actifs sous leur responsabilité sont toujours valides.
20
Classification de l’information
Concepts clés : Cycle de vie de l’information
Le cycle de vie de l’information est l’ensemble des étapes que franchit une
information et qui vont de sa création, en passant par son enregistrement,
son transfert, sa consultation, son traitement et sa transmission, jusqu’à sa
conservation ou sa destruction, en conformité avec le calendrier de
conservation de l’entreprise concernée.
21
Classification de l’information
Concepts clés: Propriétaires / Détenteurs de l’Information
On peut aussi introduire la notion de co-propriétaire selon la portée de l’actif et la complexité de l’organisation
Même si l’on dit qu’un département est désigné comme propriétaire, cela ne signifie pas que l’actif lui appartient, cela veut dire qu’il est
responsable de la gestion de celui-ci et des accès qui y sont associés.
Il est judicieux de définir des critères organisationnels permettant d’établir le propriétaire d’un actif (exemple: obligation légale, responsable du
secteur ayant le plus grand nombre d’utilisateurs, responsable du secteur ayant financé l’acquisition, responsable du secteur dont le processus
d’affaires est le plus dépendant de l’actif , etc.
❑ Quels sont les critères organisationnels qui permettent d’établir qui devrait être le propriétaire / détenteur d’un actif?
- Obligation légale
- Responsable du secteur ayant le plus grand nombre d’utilisateurs de l’actif
- Responsable du secteur ayant financé l’acquisition de l’actif
- Responsable du secteur dont le processus d’affaires est le plus dépendant de l’actif
- Responsable du secteur qui assure la gestion technologique de l’actif
22
- etc.
Video: CISSP Asset Security – 03 Introduction to information and asset classification : https://www.youtube.com/watch?v=pL_qDZwoMsM
Classification de l’information
Meilleures pratiques en classification de l’information
Les informations de l’organisation doivent être classifiées en fonction des risques encourus et protégées de
manière proportionnelle :
- au plan légal, certaines informations doivent être conservés selon des durées définies (dossier
RH, factures, contrats, etc) ;
- au plan stratégique, des secrets industriels ou des brevets comportant une valeur importante pour
l’organisation.
En ce qui concerne la classification des informations, cette responsabilité appartient au propriétaire des actifs,
mais il est important que le département des affaires juridiques de l’organisation puisse valider la conformité
de cette classification en regard des exigences légales applicables.
23
Rappel des trois concepts de sécurité de
l’information - CIA
24
Classification de l’information
• Directives communes à toute l’organisation qui précise les différents niveaux de sensibilité de
chaque document :
- secret
- confidentiel
- diffusion limitée
- publique
- privilégiée et confidentielle
Les meilleures pratiques précisent aussi les règles à adopter en fonction de chaque niveau
de sensibilité.
Pour classer une information, on évaluera le préjudice lié à la perte, au vol ou à la destruction
de cette information
Il convient d’écrire des procédures qui décrivent comment manipuler, traiter, protéger les
actifs en accord avec la classification des informations décidée par l’organisation.
Weber & Villedieu (2014) 25
Les renseignements confidentiels
26
Les renseignements confidentiels
27
Diverses lois touchant à la protection des
renseignements personnels
28
Les différentes approches
29
Classification de l’information
Quel serait l’impact de la non-disponibilité de l’objet sur les processus qu’il soutient et sur l’organisation
en général?
https://www.tresor.gouv.qc.ca/fileadmin/PDF/ressources_informationnelles/securite_information/categorisation_information.pdf
30
Classification de l’information
Éléments relatifs à l’intégrité
L’objet a-t-il une valeur authentique ou à caractère officiel? Si oui, quelle serait la
conséquence de son altération?
https://www.tresor.gouv.qc.ca/fileadmin/PDF/ressources_informationnelles/securite_information/categorisation_information.pdf
31
Comment évaluer la valeur de l’information?
Death (2017) 32
Classification de l’information
Death (2017)
33
Classification de l’information au
niveau Fédéral
34
Classification de l’information au niveau Fédéral
35
Classification de l’information au niveau du secteur privé
36
Video: Understand your data to better protect your business:
https://www.youtube.com/watch?v=VRJqquiDNEA
37
Réalisation de la classification
38
Catégorisation de l’information
Facteurs de succès
39
Démarche de classification
Concepts clés: Encadrement du processus de classification
Question : Quels seraient les composants importants à retrouver dans une politique ou un encadrement de la classification /
catégorisation des actifs informationnels?
Une politique ou un encadrement organisationnel de la classification permettra d’établir les éléments suivants:
- Caractéristiques d’un actif (ou de l’information) (peut aussi être dans une politique de gestion des actifs si
existante)
- Critères d’inventaire d’un actif (peut aussi être dans une politique de gestion des actifs si existante)
- Acteurs relatifs à la gestion des actifs (peut aussi être dans une politique de gestion des actifs si existante)
- Le cycle de vie de l’actif en lien avec la classification (peut aussi être dans une politique de gestion des actifs si
existante)
- Etc.
40
Classification de l’information
Le processus de catégorisation de l’information
41
Classification de l’information
Le processus de catégorisation de l’information
42
Classification de l’information
Le processus de catégorisation de l’information
• Analyse du contexte
44
catégorisation.
Fiche de description de l’étendue du projet de catégorisation
Classification de l’information
Le processus de catégorisation de l’information
45
concernés.
Classification de l’information
Le processus de catégorisation de l’information
Processus de catégorisation
2. Les valeurs des niveaux de classification pour la Disponibilité , l’Intégrité et la Confidentialié sont les suivantes:
3. La valeur de l’actif est déterminée par la somme des valeurs des critères de sécurité
4. Exemple:
48
Élevé Moyen Bas 3+2+1=6
Source https://www.iso27001security.com
Classification et gestion de risques
Actif Côte DIC: 323
Valeur de l’actif
Intégrité B M E B M E B M E
Disponibilité Bas 3 4 5 4 5 6 5 6 7
Moyen 4 5 6 5 6 7 6 7 8
Élevé 5 6 7 6 7 8 7 8 9
Valeur de l’actif
Intégrité B M E B M E B M E
Disponibilité Bas 3 4 5 4 5 6 5 6 7
Moyen 4 5 6 5 6 7 6 7 8
Élevé 5 6 7 6 7 8 7 8 9
Lorsqu’un objet de catégorisation contient des éléments de niveaux d’impact différents, c'est le
niveau le plus élevé qui l'emporte.
Ainsi, un processus impliquant plusieurs actifs informationnels de niveaux d’impact différents peut
être considéré comme une agrégation de ces actifs et hériter du niveau d’impact le plus élevé.
Source https://www.iso27001security.com
50
Catégorisation de l’information
51
Catégorisation de l’information
Le processus de classification doit être fait en continu
52
Annexe
53
Information classification steps
Example from ISO 27001
1 - Asset inventory:
• paper documents
https://advisera.com/27001academy/blog/2014/05/12/information-classification-according-to-iso-27001/
54
Information classification steps
Example from ISO 27001
2 - Classification of Information
https://advisera.com/27001academy/blog/2014/05/12/information-classification-according-to-iso-27001/
55
Information classification steps
Example from ISO 27001
3 - Information labeling
For example, you could set the rules for paper documents such that
the confidentiality level is to be indicated in the top right corner of each
document page, and that it is also to be indicated on the front of the
cover or envelope carrying such a document, as well as on the filing
folder in which the document is stored.
https://advisera.com/27001academy/blog/2014/05/12/information-classification-according-to-iso-27001/
56
Information classification steps
Example from ISO 27001
4 - Handling of assets (Maintain the categorization register)
In this table, you can define that paper documents classified as Restricted
should be locked in a cabinet, documents may be transferred within and
outside the organization only in a closed envelope, and if sent outside the
organization, the document must be mailed with a return receipt service.
57
https://advisera.com/27001academy/blog/2014/05/12/information-classification-according-to-iso-27001/
https://www.itgovernance.co.uk/blog/what-is-information-classification-and-how-is-it-relevant-to-iso-27001
Information classification steps
Example from ISO 27001
4 - Handling of assets (Maintain the categorization register)
Cont’d)
• organizational change;
59