ETUDE ET PROTECTION DES

ACTIFS INFORMATIONNELS
DANS UNE ENTREPRISE
Presenté par:

Encadreur académique :
M. Leopold DONGMO
Plan du travail:
OBJECTIFS POURSUIVIS

INTRODUCTION GENERALE

Chapitre I :Etude des actifs Informationnels d’une

Organisation

Chapitre II : Protection des actifs informationnels

Cas Pratique

Conclusion
OBJECTIFS POURSUIVIS

Les objectifs du groupe de travail ont été les suivants :

• Identifier les actifs informationnel d’une organisation ;
• caractériser les actifs informationnel d’une organisation
•Identifier quelques risques aux actifs informationnel d’une
organisation
• Présenter les moyens de protections des actifs informationnel d’une
organisation
• Présenter un cas pratique sur l’etude d’une organisation
quelconque.
INTRODUCTION
L’information constitue une ressource essentielle qui doit être
protégée tout au long de son cycle de vie. Cependant, les actifs
informationnel d’une organisation n’ont pas la même valeur et ne
nécessitent pas le même niveau de protection. L’étude des actifs
informationnels en sécurité de l’information est un processus
permettant à l’organisme d’évaluer le degré de sensibilité de son
système d’information, dans le but d’en déterminer le niveau de
protection eu égard aux risques encourus en matière de disponibilité,
d’intégrité et de confidentialité (DIC). Un organisme pourra ainsi tenir
compte du degré de sensibilité déterminé pour mettre en place les
mesures de protection lui permettant de se conformer à ses
obligations légales, d’éviter des pertes financières, d’atteindre ses
objectifs en ce qui a trait à son niveau de services et de rehausser la
confiance des citoyens et des entreprises à l’égard des services
publics. Le présent travail résulte des recherches faites sur l’étude des
actifs informationnels d’une organisation et des moyens de protections
de ses actifs, thème qui nous a été confié.
Chapitre I :Etude des actifs
Informationnels d’une Organisation
Définition

 En sécurité informatique, la première chose à connaître c’est ce que

l’entreprise possède comme actifs à protéger, peu importe la nature de
l’entreprise ou sa grosseur
 Tout système d’information, matériel informatique et de
télécommunications, logiciels, progiciels, listes, banques de données et
informations (textuelle, sonore, symbolique ou visuelle) placées dans un
matériel informatique ou sur un média informatique et/ou électronique, tel
que des systèmes de courrier électronique et autres.
 La définition la plus claire d’actifs informationnel serait « toute information,
source ou support d’information ayant de la valeur pour l’entreprise ».
 Les Actifs matériels
Il s’agit ici principalement des principaux support et moyen d’acheminement de
l’information.
On pourra citer :
 Poste de travail, portable, tablette, téléphone mobile, etc.
 Un système d’opération, Windows, Linux, etc.
 Serveur physique ou virtuel,
 Tous les types de serveurs informatiques, NAS ou autres,
 Firewall, Router, Switch et autres éléments de réseautique,
 Imprimante, numériseur, etc.
 Information d’authentification logiciel ou physique tel que Yubikey et autres,
 Un service Cloud traitant ou hébergant de l’information,
 Tous les types de logiciels, de suite bureautique ou autres, Quickbook, Simple Comptable,
Antidote, etc.
Les actifs informationnels
 Il s’agit ici principalement de l’information en elle-même, enregistré dans le
format qui lui est adequat.
On pourra citer :
 Données personnelles employés / clients / fournisseurs,
 Fichiers texte, listes importantes en Word, Excel, PDF, etc.
 Politiques, directives, processus, procédures, etc…
 Contrats, brevets, plan d’architecture, recette chimique, etc.
 Fichier sonore MP3, M4A, etc.
 Fichier de videos corporatives, Youtube, etc.
 Base de données Access, SQL et MySQL, …
 Des fichiers de configurations de systèmes et logiciels,
 Sauvegarde, archives, etc.
 Documents imprimés, dossiers et notes,
Autres actifs
Étant donné que la norme ISO 27001 met l’accent sur la préservation de
la Confidentialité, l’Intégrité et la Disponibilité des informations, cela signifie que les
« actifs » peuvent aussi être :
 Logiciel – non seulement le logiciel acheté, mais aussi le logiciel gratuit
(licences, droit d’utilisation, développements propres, etc)
 Infrastructure – à prendre en considération, les bureaux, l’ électricité, la
climatisation – parce que ceux les atouts peut entraîner un manque de
disponibilité de l’information.
 Les gens sont aussi pris en considération, car ils détiennent aussi beaucoup
d’informations, de connaissances, qui très souvent ne sont pas disponible sous
d’autres formes.
 Services externalisés – par exemple. services juridiques, les services de
nettoyage, mais aussi des services en ligne comme Dropbox ou Gmail – il est
vrai cette ce ne sont pas des actifs dans le sens pur du terme, mais ces services
doivent être contrôlé comme des actifs, donc ils sont très souvent inclus dans la
gestion des actifs.
Le patrimoine informationnel regroupe une quantité innombrable d’éléments dont
une liste exhaustive ne pourrait être dressée dans le cadre de cette recherche.
Toutefois, le tableau proposé résume de façon concise de quoi peut être constitué
le patrimoine informationnel d’une entreprise.
Autres actifs
 Categorisation des actifs
 L’information doit être traitée et protégée selon sa valeur et son niveau de
confidentialité.
Il existe différentes méthodes de classification de l’information.
 Une première consiste à définir une matrice de 3 ou 4 niveaux d’impact pour chaque
élément du DIC (« Disponibilité », « Intégrité », « Confidentialité »). Chaque niveau est
décrit (cote 1 = impact minime, cote 4 = impact très grave) avec des exemples ou
barèmes spécifiques à l’organisation, afin de réduire les ambiguïtés et d’éviter les
interprétations lors de l’attribution de la cote.
 Une seconde méthode consiste à mettre en priorité les critères d’impact le plus
important pour l’organisation et d’établir un arbre de décision (pour chaque élément
du DIC). Prenons l’exemple d’une entreprise qui a établi que ses deux critères les plus
élevés sont « perte financière importante » et « arrêt des services impactant
significativement les clients ». Alors, la cote la plus élevée sera attribuée si un de ces
deux critères est atteint advenant la perte de disponibilité de l’information. Cela
signifiera que cet actif est critique, pour l’élément de la disponibilité (ex. cote = 4
Chapitre II : Protection des actifs
informationnels
I. Les enjeux de la protection de l’information
Il existe en effet un certain nombre de tendances de fond et de ruptures d’ordre économique, réglementaire et
sociologique, qui obligent à repenser de façon plus globale la protection de l’information. Parmi les évolutions internes
on peut citer les tendances suivantes :
 • L’explosion des services dématérialisés et des volumes d’information (structurée mais surtout non structurée)
circulant dans les entreprises et sur Internet. Cette volumétrie croissante des contenus oblige à repenser et à
industrialiser la démarche de protection de l’information ;
 • L’environnement décentralisé des entreprises et l’hétérogénéité des niveaux de « sécurité » interne qui peuvent
justifier la mise en place d’un référentiel de protection de l’information. Parmi les évolutions externes on peut
mentionner :
 • La tendance à la convergence des usages domestiques et professionnels des SI. Wifi, messageries instantanées,
réseaux sociaux, blogs, wikis…sont d’utilisations courantes dans la sphère privée mais souvent incompatibles avec
les usages et les besoins dans l’entreprise. Ceci oblige à revoir les règles d’usages des SI (chartes) mais aussi à
redéfinir plus précisément la valeur de ces systèmes d’information pour l’entreprise ;
 • L’émergence de l’entreprise étendue, impliquant un changement des modèles d’affaire, des relations avec les
clients, les partenaires, les fournisseurs, les salariés et conduisant à étendre le périmètre de protection de
l’information au-delà des frontières traditionnelles de l’entreprise ;
 • L’exigence de transparence et de reporting accru avec un renforcement des contraintes légales,
réglementaires, contractuelles. Cette tendance conduit d’un côté à publier davantage d’informations mais d’un
autre côté à contrôler en amont beaucoup plus finement leur origine, et véracité et en aval les destinataires de
l’information ;
 • La complexité et l’interaction croissante avec l’environnement, ce qui se traduit par exemple par une
diversification et une dangerosité croissante des menaces, obligeant les entreprises à repenser leur politique de
protection de l’information et à se préparer au changement.
II La Démarche de gouvernance

Chaque entreprise a son type d’organisation, sa culture, son modèle de

gouvernance et ses modes de gestion de projet. On peut néanmoins recenser
quelques principes forts et universels en matière de démarche de
gouvernance, tant au niveau des étapes, que des acteurs et des
responsabilités.
La gouvernance, autrement dit la définition des rôles et des responsabilités
des acteurs, est un point clé dans la réussite d’une démarche de protection
de l’information
1. Les axes structurants

 La démarche de protection de l’information peut se décliner de la façon suivante :

 • S’appuyer sur la vision et la volonté politique et stratégique de la direction ;

 • Avoir une approche globale et raisonnée (expression de besoin assise sur une analyse de risques) ;

 • Avoir une démarche inscrite dans la durée (une protection durable) ;

 • Axer la démarche selon trois axes : o Les hommes (comportements, sensibilisation, …) ;

 Les processus (la finalité métier, intégrer la démarche de Protection de l’Information dans les processus métiers) ;

 Les règles et les outils (pour automatiser)

 • Avoir une démarche cohérente selon ces trois axes (autrement dit progresser de la même façon sur l’axe organisationnel, l’axe humain et l’axe outils) ;

 • Avoir une démarche d’amélioration continue

 • Ne pas chercher l’exhaustivité ni la complétude ;

 • Disposer d’une politique de sécurité et d’une politique de gestion des risques structurée et explicite;

 • S’appuyer sur la maturité de l’entreprise et sur une culture partagée de ce que constitue le « patrimoine informationnel » de l’entreprise ;

 • S’appuyer sur la démarche de cartographie des risques ;

 • Capitaliser sur d’éventuels incidents pour ancrer la démarche.


 2. Sept étapes
La démarche peut suivre les étapes suivantes :
 1. Faire un audit, état des lieux ;
 2. Définir le modèle d’organisation, les acteurs, les rôles, les responsabilités. Mettre en place un
comité de pilotage transverse qui oriente, valide et supporte les actions ;
 3. Définir les grandes orientations, priorités et objectifs (créer l’attention sur le sujet et engager le
management) ;
 4. Élaborer, mettre en place et maintenir le référentiel de protection de l’information (charte
utilisateurs et administrateurs des SI, politique groupe, politique particulière de sécurité de
l’information) ;
 5. Sensibiliser et responsabiliser le management et les employés (sessions d’information et
communication) ;
 6. Identifier et assurer le traitement des sujets prioritaires (mise en place d’une cellule de gestion
des vulnérabilités et des incidents, protection des communications écrites et orales, protection
anti-virus, sécurité des réseaux, gestion des accès, gestion de l’information) ;
 7. Evaluer et contrôler (intégration dans le programme d’audit et démarche de tests et
évaluation).
 3. Quatre acteurs
La protection de l’information doit s’inscrire dans une démarche organisée,
transversale, collaborative et dynamique.
Quatre acteurs principaux interviennent dans la protection de l’information :
 • l’entreprise qui fixe les règles et met à disposition des solutions standard
de protection et les consignes associées ;
 • les métiers qui identifient les informations sensibles à protéger ;
 • la hiérarchie qui contrôle la bonne application des règles dans son
périmètre de responsabilité ;
 • et chacun, qui connait le niveau de sensibilité des informations qu’il
détient et les règles et procédures à appliquer.
3. Quatre acteurs

Ces parties prenantes peuvent aider

au développement d'une démarche
de protection de l'information.
Par exemple :
• la direction juridique pour les
chartes, les contrats, les clauses ;
• la DRH pour les chartes, les contrats
de travail et la formation
• l'audit pour le contrôle interne ;
• les moyens généraux pour les outils
tels que les destructeurs de
documents, le papier non
photocopiable, … ;
• la sécurité physique pour les
contrôles d'accès aux bâtiments ;
 III. Les risques liés aux actifs informationnels

On distingue généralement plusieurs types de risques : les risques financiers,

opérationnels, de conformité et d’atteinte à l’image. Les risques liés aux usages IT font
partie des risques opérationnels. On peut classer les risques liés aux usages IT de
différentes façons, par exemple :
 • Les risques informationnels ;
 • Les risques liés aux applications ;
 • Les risques liés aux développements ;
 • Les risques liés à la maintenance ;
 • Les risques liés aux infrastructures, serveurs ;
Ce que l’on peut dire des risques aujourd’hui en entreprise, c’est qu’il est
indispensable de répertorier ces risques, de les hiérarchiser, de les relier à des
processus, et de mettre en place un modèle de gouvernance approprié
 Les principales mesures de réduction des risques

 Réduction du risque
En général, les mesures de sécurité peuvent fournir un ou plusieurs types de protection : la
correction, l’élimination, la prévention, l’atténuation des impacts, la dissuasion, la
détection, la récupération, la surveillance et la sensibilisation.
 Maintien du risque
Si le niveau de risque répond aux critères d’acceptation du risque, il n’est pas nécessaire
de mettre en œuvre d’autres mesures de sécurité, le risque peut alors être conservé.
 Evitement du risque
Lorsque les risques identifiés sont jugés trop élevés ou lorsque les coûts de mise en œuvre
d’autres options de traitement du risque dépassent les bénéfices attendus, il est possible de
prendre la décision d’éviter complètement le risque, en abandonnant une ou plusieurs
activités prévues ou existantes, ou en modifiant les conditions dans lesquelles l’activité est
effectuée. Par exemple, pour les risques découlant d’incidents naturels, il peut être plus
rentable de déplacer physiquement les moyens de traitement de l’information à un endroit
où le risque n’existe pas ou est maîtrisé.
 Transfert du risque
Le transfert du risque implique la décision de partager certains risques avec des parties
externes. Il peut créer de nouveaux risques ou modifier les risques identifiés existants. Par
conséquent, un autre traitement de risque peut s’avérer nécessaire.
3. Politique de protection des actifs
informationnels

Pour veiller à la protection des actifs informationnels, il est nécessaire d’établir une
politique de protections de ses actifs.
Elle consistera à :
 • Définir les orientations générales et les priorités ;
 • Développer, mettre en œuvre et maintenir un référentiel de protection de
l’information (politiques, rôles et responsabilités, processus, normes) ;
 • Sensibiliser et éduquer le management/les employés à tous les niveaux ;
 • Identifier et traiter les faiblesses prioritaires ;
 • Assurer la conformité et contrôler.
 Conclusion
Pour garantir sa croissance et son leadership, les deux grand défis d’une
organisations sont d’avoir de grands actifs informationnel mais aussi de
pouvoir garantir la sécurité de ses actifs. Pour cela, il est important pour toute
organisation d’avoir une forte politique de gestion de ses actifs informationnels
permettant de catégoriser ses actifs, d’evaluer les risque et menance liées à
ces actifs et d’adopter une bonne politique de protection.