Académique Documents
Professionnel Documents
Culture Documents
Logiciels - non seulement les logiciels achetés, mais aussi les logiciels gratuits.
Les ressources humaines sont également considérées comme des actifs parce qu'elles
ont aussi beaucoup d'informations dans leur tête, qui ne sont souvent pas disponibles
sous d'autres formes.
Les services externalisés - par exemple les services juridiques ou les services de
nettoyage, mais aussi les services en ligne comme Dropbox ou Gmail - il est vrai qu'il ne
s'agit pas d'actifs au sens strict du terme, mais de tels services doivent être contrôlés de
manière très similaire aux actifs, donc ils sont très souvent inclus dans la gestion des
actifs.
2) Si l'organisation ne sait pas qui est responsable de quel actif, le chaos s'ensuivra - définir
les propriétaires d'actifs et leur attribuer la responsabilité de protéger la confidentialité,
l'intégrité et la disponibilité de l'information est l'un des concepts fondamentaux d'ISO 27001.
C'est pourquoi la norme ISO 27001:2013 exige ce qui suit : un inventaire des actifs doit être
dressé (A.8.1.1.1), les propriétaires des actifs doivent être nommés (A.8.1.2) et l'utilisation
acceptable des actifs doit être définie (A.8.1.3).
Si vous n'avez pas développé votre inventaire d'actifs auparavant, la façon la plus simple de
le construire est lors du processus initial d'évaluation des risques (si vous avez choisi la
méthodologie d'évaluation des risques basée sur les actifs), car c'est à ce moment que tous
les actifs doivent être identifiés, ainsi que leurs propriétaires.
La meilleure façon d'établir un inventaire des actifs est d'interroger le chef de chaque
service et d'énumérer tous les actifs qu'un service utilise. Le plus simple est la
technique " décrire ce que vous voyez " - demandez à cette personne de dresser la liste de
tous les logiciels qu'elle voit et qui sont installés sur l'ordinateur, tous les documents dans
ses dossiers et ses classeurs, toutes les personnes qui travaillent dans le service, tous les
équipements qu'elle voit dans ses bureaux, etc.
Bien sûr, si vous avez déjà des inventaires de biens existants (p. ex. registre des
immobilisations, liste des employés, liste des logiciels sous licence, etc.), vous n'avez pas
besoin de reproduire ces listes - le mieux serait de consulter vos autres listes à partir de
votre registre des biens de sécurité des renseignements.
La norme ISO 27001 ne prescrit pas quels détails doivent figurer dans l'inventaire des actifs
- vous pouvez inscrire seulement le nom de l'actif et son propriétaire, mais vous pouvez
également ajouter d'autres informations utiles, comme la catégorie d'actifs, son
emplacement, certaines notes, etc.
L'établissement du registre des actifs est habituellement effectué par la personne qui
coordonne le projet de mise en œuvre de la norme ISO 27001 - dans la plupart des cas, il
s'agit du chef de la sécurité informatique, qui recueille toutes les informations et s'assure que
l'inventaire est mis à jour.
Le propriétaire est normalement une personne qui exploite le bien et qui veille à ce que
l'information relative à ce bien soit protégée. Par exemple, le propriétaire d'un serveur peut
être l'administrateur système, et le propriétaire d'un fichier peut être la personne qui a créé
ce fichier ; pour les employés, le propriétaire est généralement la personne qui est leur
supérieur direct.
Pour des biens similaires utilisés par de nombreuses personnes (comme les ordinateurs
portables ou les téléphones mobiles), vous pouvez définir qu'un propriétaire de bien est la
personne qui utilise le bien, et si vous avez un seul bien utilisé par de nombreuses
personnes (par exemple un logiciel ERP), alors un propriétaire de bien peut être un membre
du conseil qui a la responsabilité dans toute l'organisation - dans ce cas d'ERP, cela pourrait
être le directeur des services informatiques.
Le fait est que la création d'un registre des actifs peut sembler un travail bureaucratique
sans grande utilité pratique, mais la vérité est que l'énumération des actifs aide à clarifier ce
qui a de la valeur dans votre entreprise et qui en est responsable. Et, sans savoir ce que
vous avez et qui est responsable, ne pensez même pas que vous serez en mesure de
protéger vos informations.