CF170 Cours3 - Classification Infos-24janvier2024 - NewB

CF170E Information Risk Management
Course # 3
La Classification de l’information
Polytechnique Montréal
Lyonel Vallès, M. Sc., M. Adm., CISA, CISM, CRISC, CDPSE

Cours 3 - Objectif d’apprentissage
À la fin de la séance l’étudiant sera en mesure de :
• Comprendre le concept de classification de l’information et ses

objectifs
• Apprécier les avantages de la classification de l’information
• Appréhender les définitions clés en classification de l’information
• Maitriser le processus de classification ou de catégorisation de

l’information
• Être au courant des lois sur la protection des renseignements

personnels
2
Agenda de la séance
• L’information
• La classification de l’information
• Avantages de la classification de l’information
• Les concepts clés en catégorisation de l’information
• Lois sur la protection des renseignements personnels
• Processus de classification ou de catégorisation de l’information
3
L’information
Actif informationnel : Tout document défini au sens de l’article 3 de la Loi concernant le
cadre juridique des technologies de l’information (LRQ, chapitre C-1.1).
À titre de rappel, cette loi définit le document comme étant : « Un ensemble constitué
d’information portée par un support. L’information y est délimitée et structurée, de façon
tangible ou logique selon le support qui la porte, et elle est intelligible sous forme de
mots, de sons ou d’images.
L’information peut être rendue au moyen de tout mode d’écriture, y compris d’un
système de symboles transcriptibles sous l’une de ces formes ou en un autre système de
symboles. [...] est assimilée au document toute banque de données dont les éléments
structurants permettent la création de documents par la délimitation et la structuration de
l’information qui y est inscrite. »
4
Classification de l’information
5
Processus permettant à l’entreprise d’évaluer le degré de sensibilité de

son information
La catégorisation de l’information a pour but de déterminer le niveau de

protection eu égard aux risques encourus en matière de disponibilité,
d’intégrité et de confidentialité (DIC).
▪ Une entreprise tiendra compte du degré de sensibilité déterminé

pour mettre en place les mesures lui permettant:
▪ de se conformer à ses obligations légales
▪ d’éviter des pertes financières
▪ d’atteindre ses objectifs en ce qui a trait à son niveau de services
▪ de rehausser la confiance des clients à l’égard des services
rendus par l’entreprise
6
https://blog.netwrix.com/2020/09/02/data-classification/ 7
QUESTION? Exemples de cas d'utilisation des résultats du processus de
catégorisation de l’information.
À quels processus organisationnels les
résultats de la catégorisation peuvent-ils
servir d’intrants?
Le processus de catégorisation de
l’information sert d’intrant à d’autres
processus dans l’organisation.
Les résultats de l’exercice de catégorisation constituent un intrant fondamental à plusieurs processus concourant à la gestion de la sécurité
de l’information. À titre d’exemple, on peut citer :
✓ la gestion des risques de sécurité de l’information, laquelle établit des priorités de traitement des risques sur la base du degré de
sensibilité des actifs informationnels;
✓ le choix du fournisseur infonuagique en vue d’assurer la protection des actifs informationnels selon leur sensibilité;
✓ l’élaboration du plan d’action de sécurité de l’information, lequel accorde une plus grande priorité aux actifs informationnels importants
pour l’organisme;
✓ la vérification de l’adéquation des mesures de sécurité par rapport aux niveaux de criticité des actifs informationnels. 8
Les avantages de la classification de l’information (Rappel)
Vidéo : Importance of Data Classification :8:58 : https://www.youtube.com/watch?v=IX9S_6fe2V8
9
Concepts clés
• Critères de sécurité (Le DIC)
• Niveaux d’impact
• Objet de catégorisation
• Niveau de granularité
• Registre de catégorisation
• Cycle de vie de l’information
• Détenteur / Propriétaire de l’information
10
Concepts clés : Critères de sécurité (Le DIC)
La valeur de l’information est évaluée sur le plan de la disponibilité, de l’intégrité et

de la confidentialité (DIC) requises pour l’atteinte des objectifs d’affaires d’une
organisation. À titre de rappel, ces critères se définissent comme suit :
• la disponibilité : Propriété d’une information d’être accessible en temps voulu et de la

manière requise par une personne autorisée
• l’intégrité : Propriété d’une information de ne subir aucune altération ou destruction

de façon erronée ou sans autorisation.
• la confidentialité : Propriété d’une information de n’être accessible ou divulguée

qu’aux personnes ou entités désignées et autorisées.
11
Concepts clés :Niveaux d’impact
Le niveau d’impact traduit l’importance des conséquences qu’un bris de sécurité d’un actif
informationnel peut avoir sur l’entreprise et sa clientèle ou sur d’autres organismes. Ces conséquences
peuvent se traduire par l’incapacité de l’organisme à :
• remplir sa mission;
• se conformer aux lois, aux règlements et aux obligations contractuelles;
• préserver son image de marque;
• maintenir ou rehausser la confiance de la clientèle et des partenaires à l’égard des services
offerts;
• préserver la vie, la santé ou le bien-être des personnes;
• respecter les droits fondamentaux des personnes à la protection des renseignements
personnels qui les concernent et de leur vie privée.
Exemples de niveaux d’impact
• Niveau 1 – Bas : impact négligeable

• Niveau 2 – Moyen : impact modéré
• Niveau 3 – Élevé :impact grave
• Niveau 4 – Très élevé : impact très grave
12
Les niveaux d’impact
Niveau 1 – Bas : impact négligeable
Ce niveau signifie que l’événement a des incidences d’ordre administratif plutôt négligeables qui sont traitées localement, sans
affecter l’organisme sur le plan global ou les autres organismes.
Niveau 2 – Moyen : impact modéré

Ce niveau signifie que l’événement aurait des incidences sur plusieurs secteurs d’activités de l’organisme, mais pas sur son image
de marque. À ce niveau, les incidences de l’événement peuvent se résorber facilement et rapidement.
Niveau 3 – Élevé : impact grave

Ce niveau signifie que l’événement aurait des incidences sérieuses et qu'il pourrait causer des dommages à l’organisme ou à sa
clientèle.
L’événement peut également avoir un impact sur le respect des droits fondamentaux des personnes à la protection des
renseignements personnels qui les concernent et de leur vie privée, mais sans porter atteinte à la santé, à la vie ou au bien-être de
ces personnes.
Niveau 4 – Très élevé : impact très grave

Ce niveau signifie que l’événement a des incidences extrêmement sérieuses sur l'entreprise, les personnes et d’autres entreprises.
Des services critiques de l’entreprise peuvent être paralysés pouvant même amener à sa disparition du marché.
13
Les niveaux d’impact (suite)
Niveaux d’impact exprimés sur le plan de la DIC
Réf :Gouvernement du Québec

14
Facteurs influençant les niveaux d’impact
a) Le temps
b) L’agrégation de l’information
c) Le périmètre de validité de la catégorisation
a) Le temps
La catégorisation de certains actifs informationnels est sensible au facteur « temps ». Un actif informationnel
peut avoir un niveau de confidentialité élevé pour une période donnée et être public par la suite. Dans ce cas,
il est recommandé de revoir la catégorisation de cet actif selon les étapes de son cycle de vie. Dans le cas où
cette révision n’est pas certaine, voire impossible, il est recommandé d’attribuer à l’actif le niveau d’impact le
plus élevé de son cycle de vie.
Exemple :Le niveau d’impact sur le plan de la confidentialité, associé au budget du gouvernement, avant
l'annonce officielle, pourrait prendre les valeurs 3 ou 4. Une fois le budget publié, cette valeur passe à 1.
15
b) L’agrégation de l’information
Lorsqu’un objet de catégorisation contient des éléments de niveaux d’impact différents, c'est généralement le
niveau le plus élevé qui l'emporte.
Ainsi, un processus impliquant plusieurs actifs informationnels de niveaux d’impact différents peut être considéré
comme une agrégation de ces actifs et hériter du niveau d’impact le plus élevé.
De même, un objet de catégorisation peut hériter d’un niveau d’impact supérieur à ceux attribués individuellement
aux actifs informationnels qui le composent.
Exemple: La description physique d'un témoin important et son lieu de résidence, pris isolément,
peuvent être catégorisés comme étant de niveau « élevé » sur le plan de la confidentialité. Par contre,
l’objet réunissant ces deux éléments pourrait nécessiter un niveau d’impact « très élevé ».
Note : Lorsqu’un objet de catégorisation contient des éléments de niveaux d’impact différents, c'est le
Ainsi, un processus impliquant plusieurs actifs informationnels de niveaux d’impact différents peut être
16
considéré comme une agrégation de ces actifs et hériter du niveau d’impact le plus élevé.
c) Le périmètre de validité de la catégorisation
Les niveaux d’impact attribués aux objets de catégorisation d’un processus sont basés sur l’analyse du contexte
d’affaires définissant le périmètre de ce processus. Ils sont donc valides au sein de ce périmètre.
Pour s’assurer de la cohérence de ces niveaux d’impact à l’échelle de l’organisme, il y a lieu de procéder à leur
validation, en tenant compte des interrelations du processus en question avec les autres processus.
17
Concepts clés: Objet de catégorisation
Un objet de catégorisation est l’élément

auquel on attribue les niveaux d’impact
sur le plan de la DIC.
Un objet de catégorisation peut donc

être assimilé à :
• un processus;
• un regroupement d’actifs
informationnels
• un actif informationnel.
Exemples d’objets de catégorisation

18
Concepts clés: Niveau de granularité
Le niveau de granularité est le degré de détail recherché lors de l’identification des objets de catégorisation.
Le choix du niveau de granularité est tributaire du contexte de l’organisation et du degré de précision souhaité pour
répondre à ses besoins en matière de sécurité de l’information.
Exemple: Un organisme souhaitant procéder à une analyse de risques de sécurité de l’information choisirait, pour
son exercice de catégorisation, le niveau de granularité
« regroupement d’actifs informationnels » au lieu de « processus ».
En revanche, pour élaborer des contrats de services en technologie de l’information, une catégorisation au niveau «
processus » serait suffisante.
Du choix du niveau de granularité dépend le nombre d’objets à catégoriser. En effet, plus la granularité est fine, plus
longue sera la liste des objets à catégoriser et plus importants seront les efforts à consentir pour réaliser la
catégorisation.
Selon la norme ISO 27005:2011, on identifie et classifie les actifs selon les grandes categories (objets de
categorisation) suivantes:
• L’information
• Les processus métier
• Les ressources humaines
• Les logiciels et applications Weber & Villedieu (2014)
19
• Les matériels, équipements, bâtiments, serveurs, réseau, firewall, etc.
Concepts clés: Registre de catégorisation
Le registre de catégorisation est un document qui permet une description détaillée des objets de
catégorisation. On y retrouve leurs principaux attributs tels que le libellé, l’unité administrative
responsable, le processus utilisateur, le détenteur, la localisation, le niveau d’impact sur le plan de la
DIC, la date de catégorisation, les références aux justificatifs d’attribution de niveaux d’impact, etc.
La gestion de ce registre est généralement confiée à une personne de l’organisme, soit le détenteur
du registre de catégorisation. Celui-ci est notamment chargé :
• d’y consigner les résultats de la catégorisation;
• de tenir à jour le registre et de s’assurer de la cohérence de son contenu; de veiller à la
sécurité et à la validité du registre;
• d’attribuer les autorisations d’accès au registre;
• de s’assurer périodiquement, auprès des détenteurs de l’information, que les niveaux
d’impact attribués aux actifs sous leur responsabilité sont toujours valides.
20
Concepts clés : Cycle de vie de l’information
Le cycle de vie de l’information est l’ensemble des étapes que franchit une
information et qui vont de sa création, en passant par son enregistrement,
son transfert, sa consultation, son traitement et sa transmission, jusqu’à sa
conservation ou sa destruction, en conformité avec le calendrier de
conservation de l’entreprise concernée.
Inspiré de: Directive sur la sécurité de l’information gouvernementale, 2014]
21
Concepts clés: Propriétaires / Détenteurs de l’Information
Chaque actif doit être doit être classifié et associé à un propriétaire.
Le propriétaire peut être constitué par une fonction, un service ou un département.

Toutefois, on privilégiera une fonction car cela permet de s’assurer d’une imputabilité pour l’actif et d’éviter les zone grises en termes de
responsabilité.
On peut aussi introduire la notion de co-propriétaire selon la portée de l’actif et la complexité de l’organisation
Même si l’on dit qu’un département est désigné comme propriétaire, cela ne signifie pas que l’actif lui appartient, cela veut dire qu’il est
responsable de la gestion de celui-ci et des accès qui y sont associés.
Il est judicieux de définir des critères organisationnels permettant d’établir le propriétaire d’un actif (exemple: obligation légale, responsable du
secteur ayant le plus grand nombre d’utilisateurs, responsable du secteur ayant financé l’acquisition, responsable du secteur dont le processus
d’affaires est le plus dépendant de l’actif , etc.
❑ Quels sont les critères organisationnels qui permettent d’établir qui devrait être le propriétaire / détenteur d’un actif?
- Obligation légale
- Responsable du secteur ayant le plus grand nombre d’utilisateurs de l’actif
- Responsable du secteur ayant financé l’acquisition de l’actif
- Responsable du secteur dont le processus d’affaires est le plus dépendant de l’actif
- Responsable du secteur qui assure la gestion technologique de l’actif
22
- etc.
Video: CISSP Asset Security – 03 Introduction to information and asset classification : https://www.youtube.com/watch?v=pL_qDZwoMsM
Meilleures pratiques en classification de l’information
Les informations de l’organisation doivent être classifiées en fonction des risques encourus et protégées de
manière proportionnelle :
- au plan légal, certaines informations doivent être conservés selon des durées définies (dossier
RH, factures, contrats, etc) ;
- au plan stratégique, des secrets industriels ou des brevets comportant une valeur importante pour
l’organisation.
En ce qui concerne la classification des informations, cette responsabilité appartient au propriétaire des actifs,
mais il est important que le département des affaires juridiques de l’organisation puisse valider la conformité
de cette classification en regard des exigences légales applicables.
Weber & Villedieu (2014)
23
Rappel des trois concepts de sécurité de
l’information - CIA
24
Éléments relatifs à la confidentialité
• Directives communes à toute l’organisation qui précise les différents niveaux de sensibilité de
chaque document :
- secret
- confidentiel
- diffusion limitée
- publique
- privilégiée et confidentielle
Les meilleures pratiques précisent aussi les règles à adopter en fonction de chaque niveau
de sensibilité.
Pour classer une information, on évaluera le préjudice lié à la perte, au vol ou à la destruction
de cette information
Il convient d’écrire des procédures qui décrivent comment manipuler, traiter, protéger les
actifs en accord avec la classification des informations décidée par l’organisation.
Weber & Villedieu (2014) 25
Les renseignements confidentiels
26
Les renseignements confidentiels
Comment déterminer si les renseignements sont confidentiels?
• La confidentialité peut varier selon:
27
Diverses lois touchant à la protection des
renseignements personnels
28
Les différentes approches
29
Éléments relatifs à la disponibilité
La non-disponibilité de certains actifs informationnels soutenant le processus pourrait-elle mettre en

danger la santé, la vie ou le bien-être des personnes ou causer une interruption de services critiques de
l’organisation?
Quel serait l’impact de la non-disponibilité de l’objet sur les processus qu’il soutient et sur l’organisation
en général?
Quelle est la période de tolérance au manque de disponibilité de l’objet?
La non-disponibilité de certains actifs informationnels soutenant le processus pourrait-elle causer une

infraction aux lois ou aux règlements? Si oui, quelles en seraient les conséquences?
https://www.tresor.gouv.qc.ca/fileadmin/PDF/ressources_informationnelles/securite_information/categorisation_information.pdf
30
Éléments relatifs à l’intégrité
Une modification non autorisée ou la destruction de certains actifs informationnels

soutenant le processus pourrait-elle affecter de manière significative la qualité de
services critiques de l’organisation?
L’objet a-t-il une valeur authentique ou à caractère officiel? Si oui, quelle serait la
conséquence de son altération?
Une modification non autorisée ou la destruction de certains actifs informationnels

soutenant le processus pourrait-elle affecter de manière significative le respect des
droits fondamentaux des personnes à la protection des renseignements personnels
qui les concernent et de leur vie privée?
https://www.tresor.gouv.qc.ca/fileadmin/PDF/ressources_informationnelles/securite_information/categorisation_information.pdf
31
Comment évaluer la valeur de l’information?
• Est-ce que l’entreprise effectue des transactions bancaires, des

paiements?
• Est-ce que l’entreprise détient des données potentiellement sensibles sur
des ventes ou information sur ses produits et services?
• Données R&D, sur le développement de ses produits, etc.?
• Est-ce que l’organisation détient des données personnelles sur ses clients,
patients, partenaires d’affaires ou sur ses employés?
Death (2017) 32
Death (2017)
33
Classification de l’information au
niveau Fédéral
34
Classification de l’information au niveau Fédéral
35
Classification de l’information au niveau du secteur privé
36
Video: Understand your data to better protect your business:
https://www.youtube.com/watch?v=VRJqquiDNEA
37
Réalisation de la classification
38
Catégorisation de l’information
Facteurs de succès
39
Démarche de classification
Concepts clés: Encadrement du processus de classification
Question : Quels seraient les composants importants à retrouver dans une politique ou un encadrement de la classification /
catégorisation des actifs informationnels?
Une politique ou un encadrement organisationnel de la classification permettra d’établir les éléments suivants:
- Caractéristiques d’un actif (ou de l’information) (peut aussi être dans une politique de gestion des actifs si
existante)
- Critères de definition d’un propriétaire / détenteur
- Critères de classification (nature, valeur, criticité, processus associés, systemes, équipements)
- Caractéristiques du registre de classification
- Critères d’inventaire d’un actif (peut aussi être dans une politique de gestion des actifs si existante)
- Rôles et responsabilités des parties prenantes
- Acteurs relatifs à la gestion des actifs (peut aussi être dans une politique de gestion des actifs si existante)
- Le cycle de vie de l’actif en lien avec la classification (peut aussi être dans une politique de gestion des actifs si
existante)
- Etc.
40
Le processus de catégorisation de l’information
Un exemple du Gouvernement du Québec
Étape 1 : Étude préliminaire
Étape 2 : Préparation de l’exercice de catégorisation
Étape 3 : Exercice de catégorisation
Étape 4 : Maintien du registre de catégorisation
41
• Permet à la haute direction d’apprécier la pertinence de l’exercice de

catégorisation.
• Est généralement requise pour un exercice de catégorisation

d’envergure, nécessitant l’aval de la haute direction et la confirmation de
sa volonté de dégager les ressources nécessaires à la réalisation du
projet.
42

Les principaux éléments de l’étude préliminaire sont les suivants :
✓ une mise en contexte du projet (assises légales et réglementaires, contraintes
contractuelles, évolution croissante des menaces et vulnérabilités, etc.);
✓ les objectifs généraux de l’exercice de catégorisation (p. ex. déterminer les actifs
informationnels critiques en vue d’une analyse de risques en sécurité de l’information, établir
les processus nécessitant un plan de continuité des services);
✓ les avantages de l’exercice de catégorisation et ses retombées sur la sécurité de
l’information et les enjeux d’affaires;
✓ La portée de l’exercice exprimée sous l'angle des unités administratives ou des processus
visés. Cette étendue n’est pas définitive et sert à donner un ordre de grandeur au projet;
✓ les biens livrables attendus (grille des niveaux d’impact, calendrier des ateliers de travail,
résultats de la catégorisation, registre de catégorisation, etc.);
✓ le calendrier de réalisation des biens livrables et les efforts devant être consentis (date et
durée de réalisation, efforts requis);
✓ les validations et les approbations nécessaires;
✓ les coûts estimé 43
Étape 2 : Préparation de l’exercice de catégorisation
• Permet de s’assurer de la disponibilité des éléments

nécessaires au bon déroulement de l’exercice de
catégorisation.
• Constitution de l’équipe de projet
• Analyse du contexte
• Définition de la grille des niveaux d’impact
• Définition de l’étendue de l’exercice de
44
catégorisation.
Fiche de description de l’étendue du projet de catégorisation
Étape 3 : Exercice de catégorisation
L’étape 3, comme l'étape 2, se décline en quatre phases :

• le choix du niveau de granularité;
• l’identification des objets de catégorisation, selon le niveau de

granularité choisi;
• l’attribution des niveaux d’impact aux objets de catégorisation

identifiés;
• la validation des résultats de catégorisation par les intervenants
45
concernés.

Certains facteurs peuvent influer sur les niveaux d’impact déjà attribués aux objets de
catégorisation.
Les détenteurs doivent donc veiller à la validité du registre de catégorisation, notamment

dans les cas suivants :
• modification des lois et règlements;

• modification d’une ou de plusieurs fonctionnalités d’un processus;
• ajout ou retrait d’actif informationnel;
• modification de la grille des niveaux d’impact propre à l’organisme;
• changement de détenteur de l’information;
• changement organisationnel;
• révision périodique des niveaux d’impact consignés au registre de
catégorisation. 46
Processus de catégorisation
Exemple de registre de catégorisation . Réf :Gouvernement du Québec 47

Classification et Gestion de risques
Matrice d'évaluation d’un actif
Hypothèses:
1. Les critères de Disponibilité, Intégrité et Confidentialité ont comme valeur minimale: 1
2. Les valeurs des niveaux de classification pour la Disponibilité , l’Intégrité et la Confidentialié sont les suivantes:
Bas Moyen Élevé

Disponibilité 1 2 3
Intégrité 1 2 3
Confidentialité 1 2 3
3. La valeur de l’actif est déterminée par la somme des valeurs des critères de sécurité
4. Exemple:
Disponibilité Intégrité Confidentialité Valeur de l’actif

Élevé Élevé Élevé 3+3+3=9
Moyen Moyen Moyen 2+2+2=6
Bas Bas Bas 1+1+1=1
48
Élevé Moyen Bas 3+2+1=6
Source https://www.iso27001security.com
Classification et gestion de risques
Actif Côte DIC: 323
Valeur de l’actif
Confidentialité Bas Moyen Élevé
Intégrité B M E B M E B M E
Disponibilité Bas 3 4 5 4 5 6 5 6 7
Moyen 4 5 6 5 6 7 6 7 8
Élevé 5 6 7 6 7 8 7 8 9
La valeur de l’actif est déterminée par la SOMME de ses côtes DIC :
Valeur actif Côte DIC: 3+2+3 = 8

49
Classification et gestion de risques
Actif Côte DIC: 323
Valeur de l’actif
Confidentialité Bas Moyen Élevé
Intégrité B M E B M E B M E
Disponibilité Bas 3 4 5 4 5 6 5 6 7
Moyen 4 5 6 5 6 7 6 7 8
Élevé 5 6 7 6 7 8 7 8 9
La valeur de l’actif est déterminée par la SOMME de ses côtes DIC :

Valeur actif Côte DIC: 3+2+3 = 8
Lorsqu’un objet de catégorisation contient des éléments de niveaux d’impact différents, c'est le
Ainsi, un processus impliquant plusieurs actifs informationnels de niveaux d’impact différents peut
être considéré comme une agrégation de ces actifs et hériter du niveau d’impact le plus élevé.
50
51
Le processus de classification doit être fait en continu
52
Annexe
Exemple de ISO 27001- Étapes de la Classification de l’information
53
Information classification steps
Example from ISO 27001
1 - Asset inventory:
Know which classified information you have in your possession, and

who is responsible for it (i.e., who is the owner)
Classified information can be in different forms and types of media,

e.g.:
• electronic documents
• information systems / databases
• paper documents
• storage media (e.g., disks, memory cards, etc.)
• information transmitted verbally
• email
https://advisera.com/27001academy/blog/2014/05/12/information-classification-according-to-iso-27001/
54
2 - Classification of Information
Examples of levels suggested for a mid-size organization (not

mandatory)
Three confidential levels and one public level:
• Confidential (top confidentiality level)
• Restricted (medium confidentiality level)
• Internal use (lowest level of confidentiality)
• Public (everyone can see the information)
55
3 - Information labeling
Once you classify the information, then you need to label it

appropriately.
Develop the guidelines for each type of information asset on how it
needs to be classified
Note: ISO 27001 is not prescriptive here, so you can develop your
own rules.
For example, you could set the rules for paper documents such that
the confidentiality level is to be indicated in the top right corner of each
document page, and that it is also to be indicated on the front of the
cover or envelope carrying such a document, as well as on the filing
folder in which the document is stored.
Labeling of information is usually the responsibility of the asset owner.
56
4 - Handling of assets (Maintain the categorization register)
Developing rules on how to protect each type of asset depending on

the level of sensitivity. For example, you could use a table in which you
must define the rules for each level of confidentiality for each type of
media, e.g.:
In this table, you can define that paper documents classified as Restricted
should be locked in a cabinet, documents may be transferred within and
outside the organization only in a closed envelope, and if sent outside the
organization, the document must be mailed with a return receipt service.
57
https://www.itgovernance.co.uk/blog/what-is-information-classification-and-how-is-it-relevant-to-iso-27001
4 - Handling of assets (Maintain the categorization register)
Cont’d)
Certain factors may influence the impact levels already assigned to

categorization objects. The holders must therefore ensure the validity of
the categorization register, in the following cases:
• modification of laws and regulations;
• modification of one or more functionalities of a process;
• addition or removal of information assets;
• modification of the organization's own impact level grid;
• change of information holder;
• organizational change;
• periodic review of the impact levels recorded in the categorization

register.
https://www.itgovernance.co.uk/blog/what-is-information-classification-and-how-is-it-relevant-to-iso-27001
58
Avez-vous des questions?
59

CF170 Cours3 - Classification Infos-24janvier2024 - NewB

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CF170 Cours3 - Classification Infos-24janvier2024 - NewB

Uploaded by

Copyright:

Available Formats

CF170E Information Risk Management

Lyonel Vallès, M. Sc., M. Adm., CISA, CISM, CRISC, CDPSE

À la fin de la séance l’étudiant sera en mesure de :

• Comprendre le concept de classification de l’information et ses

• Apprécier les avantages de la classification de l’information

• Appréhender les définitions clés en classification de l’information

• Maitriser le processus de classification ou de catégorisation de

• Être au courant des lois sur la protection des renseignements

• Avantages de la classification de l’information

• Les concepts clés en catégorisation de l’information

• Lois sur la protection des renseignements personnels

• Processus de classification ou de catégorisation de l’information

Processus permettant à l’entreprise d’évaluer le degré de sensibilité de

La catégorisation de l’information a pour but de déterminer le niveau de

▪ Une entreprise tiendra compte du degré de sensibilité déterminé

Les avantages de la classification de l’information (Rappel)

Vidéo : Importance of Data Classification :8:58 : https://www.youtube.com/watch?v=IX9S_6fe2V8

• Critères de sécurité (Le DIC)

• Cycle de vie de l’information

• Détenteur / Propriétaire de l’information

Concepts clés : Critères de sécurité (Le DIC)

La valeur de l’information est évaluée sur le plan de la disponibilité, de l’intégrité et

• la disponibilité : Propriété d’une information d’être accessible en temps voulu et de la

• l’intégrité : Propriété d’une information de ne subir aucune altération ou destruction

• la confidentialité : Propriété d’une information de n’être accessible ou divulguée

Exemples de niveaux d’impact

• Niveau 1 – Bas : impact négligeable

Niveau 2 – Moyen : impact modéré

Niveau 3 – Élevé : impact grave

Niveau 4 – Très élevé : impact très grave

Réf :Gouvernement du Québec

Facteurs influençant les niveaux d’impact

c) Le périmètre de validité de la catégorisation

Concepts clés: Objet de catégorisation

Un objet de catégorisation est l’élément

Un objet de catégorisation peut donc

Exemples d’objets de catégorisation

Inspiré de: Directive sur la sécurité de l’information gouvernementale, 2014]

Chaque actif doit être doit être classifié et associé à un propriétaire.

Le propriétaire peut être constitué par une fonction, un service ou un département.

Weber & Villedieu (2014)

Éléments relatifs à la confidentialité

Comment déterminer si les renseignements sont confidentiels?

• La confidentialité peut varier selon:

Éléments relatifs à la disponibilité

La non-disponibilité de certains actifs informationnels soutenant le processus pourrait-elle mettre en

Quelle est la période de tolérance au manque de disponibilité de l’objet?

La non-disponibilité de certains actifs informationnels soutenant le processus pourrait-elle causer une

Une modification non autorisée ou la destruction de certains actifs informationnels

Une modification non autorisée ou la destruction de certains actifs informationnels

• Est-ce que l’entreprise effectue des transactions bancaires, des

- Critères de definition d’un propriétaire / détenteur

- Critères de classification (nature, valeur, criticité, processus associés, systemes, équipements)

- Caractéristiques du registre de classification

- Rôles et responsabilités des parties prenantes

Un exemple du Gouvernement du Québec

Étape 1 : Étude préliminaire

Étape 2 : Préparation de l’exercice de catégorisation

Étape 3 : Exercice de catégorisation

Étape 4 : Maintien du registre de catégorisation

Un exemple du Gouvernement du Québec

Étape 1 : Étude préliminaire

• Permet à la haute direction d’apprécier la pertinence de l’exercice de