Comment gérer le registre des actifs (inventaire

des actifs) conformément à la norme ISO 27001

Malheureusement, si vous avez déjà développé un registre des immobilisations, il ne suffira

pas d'être conforme à la norme ISO 27001 - le concept d'inventaire des actifs (parfois appelé
le registre des actifs) en sécurité de l'information est très différent du concept du registre des
immobilisations en comptabilité.

Quels sont les actifs selon ISO 27001 ?

Tout d'abord, clarifions ce que les actifs signifient dans le contexte d'ISO 27001 - ce qui est
assez amusant, c'est que ni la nouvelle révision 2013 d'ISO/IEC 27001, ni la révision 2014
d'ISO/IEC 27000 ne donnent une définition des actifs, mais la révision 2005 d'ISO/IEC
27001 définit un actif comme " tout bien qui a une valeur pour l'organisme ".

Puisque la norme ISO 27001 met l'accent sur la préservation de la confidentialité, de

l'intégrité et de la disponibilité de l'information, cela signifie que les actifs peuvent l'être :

 Matériel - p. ex. ordinateurs portables, serveurs, imprimantes, mais aussi téléphones

portables ou clés USB.

 Logiciels - non seulement les logiciels achetés, mais aussi les logiciels gratuits.

 Information - non seulement sur support électronique (bases de données, fichiers en

format PDF, Word, Excel et autres formats), mais aussi sur papier et sous d'autres
formes.
 L'infrastructure - bureaux, électricité, climatisation, par exemple - parce que ces biens
peuvent entraîner un manque d'information.

 Les ressources humaines sont également considérées comme des actifs parce qu'elles
ont aussi beaucoup d'informations dans leur tête, qui ne sont souvent pas disponibles
sous d'autres formes.

 Les services externalisés - par exemple les services juridiques ou les services de
nettoyage, mais aussi les services en ligne comme Dropbox ou Gmail - il est vrai qu'il ne
s'agit pas d'actifs au sens strict du terme, mais de tels services doivent être contrôlés de
manière très similaire aux actifs, donc ils sont très souvent inclus dans la gestion des
actifs.

Pourquoi les actifs sont-ils importants pour la gestion de la sécurité de

l'information ?

Il y a deux raisons pour lesquelles la gestion des actifs est importante :

1) Les actifs sont généralement utilisés pour effectuer l'évaluation des risques - bien qu'ils ne
soient pas obligatoires selon la norme ISO 27001:2013, les actifs sont généralement
l'élément clé de l'identification des risques, avec les menaces et vulnérabilités.

2) Si l'organisation ne sait pas qui est responsable de quel actif, le chaos s'ensuivra - définir
les propriétaires d'actifs et leur attribuer la responsabilité de protéger la confidentialité,
l'intégrité et la disponibilité de l'information est l'un des concepts fondamentaux d'ISO 27001.
C'est pourquoi la norme ISO 27001:2013 exige ce qui suit : un inventaire des actifs doit être
dressé (A.8.1.1.1), les propriétaires des actifs doivent être nommés (A.8.1.2) et l'utilisation
acceptable des actifs doit être définie (A.8.1.3).

Comment dresser un inventaire des biens ?

Si vous n'avez pas développé votre inventaire d'actifs auparavant, la façon la plus simple de
le construire est lors du processus initial d'évaluation des risques (si vous avez choisi la
méthodologie d'évaluation des risques basée sur les actifs), car c'est à ce moment que tous
les actifs doivent être identifiés, ainsi que leurs propriétaires.

La meilleure façon d'établir un inventaire des actifs est d'interroger le chef de chaque
service et d'énumérer tous les actifs qu'un service utilise. Le plus simple est la
technique " décrire ce que vous voyez " - demandez à cette personne de dresser la liste de
tous les logiciels qu'elle voit et qui sont installés sur l'ordinateur, tous les documents dans
ses dossiers et ses classeurs, toutes les personnes qui travaillent dans le service, tous les
équipements qu'elle voit dans ses bureaux, etc.

Bien sûr, si vous avez déjà des inventaires de biens existants (p. ex. registre des
immobilisations, liste des employés, liste des logiciels sous licence, etc.), vous n'avez pas
besoin de reproduire ces listes - le mieux serait de consulter vos autres listes à partir de
votre registre des biens de sécurité des renseignements.

La norme ISO 27001 ne prescrit pas quels détails doivent figurer dans l'inventaire des actifs
- vous pouvez inscrire seulement le nom de l'actif et son propriétaire, mais vous pouvez
également ajouter d'autres informations utiles, comme la catégorie d'actifs, son
emplacement, certaines notes, etc.

L'établissement du registre des actifs est habituellement effectué par la personne qui
coordonne le projet de mise en œuvre de la norme ISO 27001 - dans la plupart des cas, il
s'agit du chef de la sécurité informatique, qui recueille toutes les informations et s'assure que
l'inventaire est mis à jour.

Qui devrait être le propriétaire de l'actif ?

Le propriétaire est normalement une personne qui exploite le bien et qui veille à ce que
l'information relative à ce bien soit protégée. Par exemple, le propriétaire d'un serveur peut
être l'administrateur système, et le propriétaire d'un fichier peut être la personne qui a créé
ce fichier ; pour les employés, le propriétaire est généralement la personne qui est leur
supérieur direct.
Pour des biens similaires utilisés par de nombreuses personnes (comme les ordinateurs
portables ou les téléphones mobiles), vous pouvez définir qu'un propriétaire de bien est la
personne qui utilise le bien, et si vous avez un seul bien utilisé par de nombreuses
personnes (par exemple un logiciel ERP), alors un propriétaire de bien peut être un membre
du conseil qui a la responsabilité dans toute l'organisation - dans ce cas d'ERP, cela pourrait
être le directeur des services informatiques.

Le fait est que la création d'un registre des actifs peut sembler un travail bureaucratique
sans grande utilité pratique, mais la vérité est que l'énumération des actifs aide à clarifier ce
qui a de la valeur dans votre entreprise et qui en est responsable. Et, sans savoir ce que
vous avez et qui est responsable, ne pensez même pas que vous serez en mesure de
protéger vos informations.