Pour faire face aux menaces actuelles, il est nécessaire d’évaluer la sécurité de votre système d’information en fonction des enjeux et des risques qui pèsent sur vos données. Vous devez alors définir le niveau de sécurité de votre SI et évaluer si les actifs qui le composent sont correctement sécurisés. Pour vous aider dans cette démarche, l’analyse de risque DICP prend en compte les différents besoins de sécurisation de votre système et les hiérarchise. Vous analysez alors les risques numériques selon leur disponibilité, leur intégrité, leur confidentialité et leur preuve.
Dans cet article, revenons sur les fondamentaux de cette méthodologie de classification recommandée par l’ANSSI et découvrons une application concrète de cette matrice de gestion des risques.
Les 4 critères de sécurité de l’analyse de risque DICP
La méthodologie DICP est utilisée par les équipes de gestion de risques et les experts en cybersécurité à travers le monde. Elle permet de garantir un niveau de sécurité informatique et la traçabilité des contrôles tout en fournissant la preuve. Ce référentiel regroupe 4 facteurs fondamentaux : la disponibilité (D), l’intégrité (I), la confidentialité (C) et la preuve (P).
Quand avez-vous besoin de cette donnée ? Quel est votre usage de cette donnée ? Sous combien de temps devez-vous obtenir l’information ? Pendant combien de temps cette donnée peut ne pas être disponible sans perturber votre organisation ? Quelle est la conséquence de la perte de cette donnée ?
Les réponses à ces questions vous permettent de déterminer le niveau de disponibilité de la donnée. Une disponibilité élevée signifie que les informations doivent être constamment accessibles par un utilisateur autorisé et qu’une perte d’accès aux données ne peut pas être envisagée. La répercussion directe de cette exigence de disponibilité réside dans le fait que le matériel, l’infrastructure technique et les systèmes qui conservent et affichent les données doivent être maintenus de manière à garantir une continuité de service quelle que soit la menace (climatique, incendie, erreur humaine, vol, cyberattaque).
Quelle est la durée de vie de votre donnée ? A quel point est-ce important que la donnée soit fiable ? Avez-vous plusieurs mises à jour de la donnée à effectuer dans votre système d’information pour garantir sa fiabilisation ? Qui peut modifier la donnée et dans quel cas ?
Autant de questions qui vous renseignent sur votre besoin d’intégrité. Un système est intègre lorsque les données sont exactes, exhaustives et cohérentes. D’après l’ANSSI, l’intégrité est une « propriété d’exactitude et de complétude des biens et des informations ». C’est-à-dire qu’une modification non légitime, provenant d’un dysfonctionnement technique, d’une erreur humaine ou d’un acte malveillant, doit pouvoir être détectée et corrigée.
Par exemple, le niveau de fiabilité d’une donnée de santé ou d’une donnée financière est maximal. Les systèmes d’informations doivent alors garantir que les informations sont inaltérables aussi bien dans le temps et quel que soit le lieu de stockage et d’affichage de la donnée. La sécurité des données est alors renforcée afin de garantir le niveau d’intégrité exigé.
Qui est autorisé à accéder à l’information ? C’est la seule question à vous poser !
La confidentialité des données permet de réserver l’accès aux informations uniquement aux personnes dûment habilitées. Régulièrement, voire tous les jours, nous sommes amenés à manipuler des données confidentielles : informations protégées par le secret médical, données sensibles, bulletins de salaire, informations stratégiques, brevets informatiques, bilan comptable, stratégie d’entreprise, données soumises à obligation légale ou réglementaire de confidentialité…
Ces quelques exemples nous donnent alors une vision de la complexité de traitement de la donnée en entreprise et de la diversité des niveaux de confidentialité attendus entre salariés et sous-traitants.
Comment démontrer que la donnée est sécurisée ? Quelle est la traçabilité des actions menées ? Comment certifier l’authentification des utilisateurs ayant accès à la donnée ? En cas de problème, comment remonter à la source ? Qui est responsable des actions effectuées sur la donnée ?
Longtemps appelée DICT avec un T pour traçabilité, ce 4ème critère a été remplacé depuis par la notion de « preuve ». Cet item est plus vaste que la seule traçabilité. D’après l’ANSSI, la preuve permet de retrouver « avec une confiance suffisante, les circonstances dans lesquelles ce bien évolue ». En cas de dysfonctionnement ou d’incidents de sécurité, la preuve va servir de point de départ à l’investigation. Cette notion est extrêmement importante dans le cas de la signature électronique ou de transactions financières par exemple.
Après avoir redéfini les termes théoriques de cette méthodologie de classification et d’évaluations du risque cyber, passons à du concret avec des exemples d’applications dans le monde réel.
La mise en application de la matrice DICP
Pour évaluer si un bien, un service ou bien encore une donnée est bien sécurisé, il est nécessaire de réaliser un audit préalable de son niveau de disponibilité, d’intégrité, de confidentialité et de preuve. D’accord mais… Concrètement, comment mettre en place la matrice DICP au sein de votre organisation ?
Selon le secteur d’activité et l’information à sécuriser, l’importance donnée à chacun des critères DICP sera différente et les actions à mettre en œuvre ne seront pas identiques.
L’évaluation de ces 4 notions se fait selon une valeur numérique comprise entre 0 et 4 où 0 correspond à une criticité faible et 4 à une criticité très forte. Une note de 0 à 4 sera appliquée respectivement aux 4 critères DICP. Par exemple, le résultat sera présenté sous la forme « DICP = 4, 1, 0, 4 » ; ce qui correspondra à une très forte disponibilité et preuve, pour une faible intégrité et confidentialité.
Si vous mettez tous les critères d’évaluation à 4, certes, vous aurez un niveau de sécurité drastique, mais est-ce nécessaire et avez-vous les budgets correspondant à une telle exigence ? Il est donc important d’auditer avec objectivité les actifs ou les données à sécuriser.
Prenons maintenant l’exemple d’un site internet à sécuriser et démarrons en préambule par lister quelques questions à avoir en tête lors de l’analyse de risque. Quelles menaces ciblent potentiellement la sécurité du site web ? Les risques financiers sont-ils bien pris en compte dans l’évaluation des risques ? Quel niveau de sécurité des applications est nécessaire ? Quels sont les besoins de chiffrement des données ? Est-ce que les normes ISO et la conformité réglementaire sont respectées ? Failles de sécurité, vulnérabilités, piratage informatique… Quels sont les risques opérationnels ?
La matrice pourrait être de 4, 4, 0, 0. Explication de l’analyse DICP :
La disponibilité du site internet se doit d’être très forte car les utilisateurs doivent pouvoir le consulter à toute heure. Toute interruption de service entraîne un manque de chiffre d’affaires dans le cas d’un site e-commerce. Il sera donc attribué un 4 sur l’échelle de la disponibilité.
Le critère d’intégrité est également très élevé dans cet exemple. Le prix sur une fiche produit, l’adresse de contact, la présentation de l’entreprise… Toutes les informations contenues sur le site ou l’application digitale se doivent d’être exactes et non modifiables par un concurrent, par un ancien salarié en colère ou par un cyber-attaquant. Assurer l’intégrité des données du site web est alors évalué à 4.
La confidentialité des données est beaucoup moins importante s’il s’agit d’un site web vitrine (site institutionnel). En effet, les données affichées sur le web sont par définition accessibles à tous donc non confidentielles. Dans l’évaluation DICP, 1 sera affecté à la valeur confidentialité. En revanche, il serait de 4 si ces données sont celles d’un client dans le cas d’un site marchand. De ce fait, la protection des informations personnelles partagées par le client (adresse postale, coordonnées bancaires…) est un enjeu réglementaire pour l’entreprise.
Dans cet exemple, la preuve n’est pas un critère important. Le site internet fournit des informations sans que l’internaute ne puisse les modifier. La traçabilité des actions n’est alors pas un enjeu ici. La preuve pourrait être évaluée à 0.
En conclusion
Que cela soit pour cartographier vos données ou plus généralement pour piloter les risques sur votre SI, la matrice DICP s’avère être un outil indispensable d’aide à la décision qui vous permet de construire votre politique de sécurité avec une meilleure vision. Cette analyse des risques est fondamentale car elle aligne le métier et le RSSI sur les besoins de sécurité et des risques liés à son organisation.