Pourquoi la catégorisation des actifs  informationnels est cruciale pour la sécurité de votre entreprise?

0
catégorisation des actifs informationnels

 

Dans notre précédent article rédigé pour ce journal, nous avons abordé le sujet du PL64. Vous vous souvenez, ce projet de loi qui vise à moderniser la façon dont les entreprises gèrent et protègent les données de leurs utilisateurs ? Dans un même ordre d’idée et pour satisfaire aux exigences de cette loi (qui est de connaître les données de l’entreprise), on fait ce qu’on appelle un « exercice de catégorisation des actifs informationnels ». Découvrez toute l’importance de ce travail dans cette lecture.

Qu’est-ce que la catégorisation des actifs  informationnels?

La catégorisation des actifs informationnels, c’est la première étape lorsqu’on entreprend la mise en place d’un écosystème de sécurité pour une entreprise. Cet exercice consiste à étudier les données. C’est donc important de connaître où elles sont situées, mais aussi, d’évaluer la valeur de ces données importantes. Cette analyse vous guidera ensuite sur les protections optimales à adopter en fonction de votre budget.

Par exemple, la « Recette secrète du Colonel », c’est une donnée cruciale pour l’entreprise : elle ne doit être divulguée d’aucune façon ! Il faudra donc la protéger adéquatement en fonction de la valeur qui lui est accordée.

Cette étape importante qu’est la catégorisation permet donc une connaissance accrue des données d’une entreprise, mais aussi, un meilleur contrôle des accès. Une bonne catégorisation permet de cibler les données critiques, mais aussi, les niveaux de confidentialité de ces données. Les entreprises sont donc en meilleure posture pour déterminer qui a accès aux données critiques et faire un suivi si des incidents avaient à se produire.

Pourquoi catégoriser pour votre posture de sécurité?

Comme mentionné plus haut, la catégorisation des actifs est importante pour mieux satisfaire le projet de loi 64, mais aussi, pour assurer à votre entreprise une meilleure posture de sécurité. C’est sans parler de la transparence de votre processus lorsque le gouvernement, vos fournisseurs ou vos partenaires voudront avoir de l’information sur la sécurité des données qu’ils partagent avec vous. On peut penser au partage des informations entre une banque et une boutique en ligne, par exemple.

Comment cette boutique protège-t-elle les données bancaires de ses clients ?

En fait, elle doit satisfaire à la norme PCI-DSS (la norme de sécurité de l’industrie sur les cartes de paiement), mais aussi, à toute autre réglementation ou législation touchant la protection des renseignements personnels.

L’importance de la catégorisation des actifs en une situation

Il y a quelques années, une grande entreprise canadienne vendait ses produits à une entreprise asiatique. Cette dernière faisait des commandes de plus en plus importantes, jusqu’au jour où… silence radio. C’est à ce moment que l’entreprise canadienne a compris le stratagème : elle avait été infiltrée de plusieurs façons et à plusieurs endroits, si bien que toutes ses données importantes avaient été dérobées, même sa recette secrète.

L’entreprise asiatique a donc développé son « nouveau » produit élaboré avec la recette de l’entreprise canadienne, qui, elle, n’a eu d’autres choix que de déclarer faillite.

Bien évidemment, il s’agit d’une situation extrême, mais les conséquences sont bien réelles. Si l’entreprise du Canada avait connu l’emplacement de ses données déterminantes et les avait protégées adéquatement en contrôlant leur confidentialité, nous ne parlerions pas de son histoire aujourd’hui.

Comment catégoriser les actifs ?

Lorsqu’on parle de données, on peut parler de l’infrastructure, de l’information, des systèmes, etc. On l’a dit plus haut, il faut d’abord connaître l’emplacement et la valeur des données que l’on veut protéger. Il faut ensuite déterminer le budget de sécurité et le seuil de tolérance au risque de votre entreprise. On peut faire une analogie avec les placements. À quel coût votre appétence au risque se dénombre-t-elle ? Avez-vous une grande tolérance, et donc, désirez un niveau de sécurité moindre ? Au contraire, voulez-vous surprotéger vos données ?

Depuis plus d’un an, Lambda a créé un service de recherche et développement qui se penche sur le processus de catégorisation des actifs informationnels. Notre objectif est d’être à l’affût, mais aussi, d’être des pionniers dans les différentes façons de catégoriser. Le résultat de ces recherches en fait bénéficier directement nos clients.

C’est après avoir fait cet exercice qu’on parle de… sécurité. La catégorisation des actifs informationnels est réellement la première étape de la mise en place d’un écosystème de sécurité pour une entreprise.

Souvenez-vous de cette phrase lorsque vous ferez votre exercice de catégorisation : on ne peut pas protéger ce dont on ne connaît pas la valeur.

Sur ce, bonne catégorisation !

PARTAGER
Article précédentEntreprises familiales et leurs défis : la communication est-elle optimale?
Article suivant4 attributs des personnes à succès pour tirer avantage de l’adversité!
Martin Samson

M. Martin Samson,

Professionnel en sécurité de l’information, CGEIT, CISM et CRISC, monsieur Samson possède une vaste expérience dans les projets liés à la sécurité de l’information ainsi qu’en gestion de ressources, tant humaines que matérielles. À titre de professionnel en sécurité de l’information, il intervient à différents niveaux dans des projets en gestion du risque de la sécurisation de l’information. Il réalise également des activités d’orientation stratégique en matière de conformité et de cybersécurité en respectant les lois, les règlements et les meilleures pratiques de l’industrie.

Martin Samson a participé à titre de chargé de projet et d’architecte à la gestion des risques en sécurité de l’information basée sur les normes internationales NIST Cyber Security Framework (CSF), NIST SP800-53, ISO 27001, 27002, 27005, PCI, et le cadre de référence COBIT. Il possède une expertise en lien avec les exigences des lois applicables en sécurité.

En plus de ces certifications dans le domaine de la sécurité de l’information, Martin Samson est titulaire d’un diplôme de deuxième cycle en Gouvernance, audit et sécurité des technologies de l’information de la Faculté d’administration de l’Université de Sherbrooke. Ce programme reconnu à l’international par l’organisation ISACA lui a permis de parfaire ses connaissances.

Depuis 2019, monsieur Samson est CISO et vice-président, Cybersécurité, à la société conseil Lambda. Il dirige l’équipe de spécialistes en cybersécurité et développe une démarche d’analyse de risques reliée à la sécurité des informations répondant parfaitement à la réalité des fonctions d’affaires. L’ensemble de ces innovations permet aux gestionnaires et propriétaires d’entreprise d’obtenir les meilleures solutions pour la saine gestion des risques en matière de cybersécurité. Une telle démarche d’analyse et d’accompagnement novatrice fusionnant le modèle d’affaires et la position de sécurité des entreprises permet d’obtenir l’offre de service la plus avancée de toute l’industrie.

LAISSER UN COMMENTAIRE

Merci de mettre votre commentaire
Merci d'indiquer votre nom ici