Le chapitre précédent a permis de rédiger les grands enjeux de sécurisation du SI, de déterminer le champ d’application de la PSSI et de figer le contexte de sécurité du laboratoire. Nous allons maintenant compléter la PSSI de notre cas d’école, avec l'inventaire des biens à protéger.
Inventoriez les biens à protéger
Pour réaliser ce bilan, vous serez amené à vous poser les questions suivantes :
Quels sont les éléments physiques et applicatifs du SI (locaux, serveurs, bases de données...) devant être protégés ?
Quelle partie de l’organisation (membres, personnels ayant des fonctions sensibles) possède une fonction critique qui doit être monitorée ?
Quels sont les locaux qui méritent une attention particulière ?
Quelles sont les catégories homogènes de biens (matériels, immatériels, organisationnels) à intégrer dans la démarche d’analyse ?
À qui sera confiée la mise en œuvre des règles de sécurité ?
Replongeons-nous dans dans la vie de notre laboratoire ! C’est parti.
Lors des interviews ciblés des personnels du laboratoire, vous accumulez également des détails sur le patrimoine matériel et organisationnel, que les règles de la PSSI vont contribuer à protéger.
Les rencontres avec les membres du personnel vous permettent d’identifier les catégories suivantes : les locaux, les équipements d'infrastructure et réseaux, les terminaux utilisateurs et l’organisation.
Une fois les catégories critiques identifiées, vous devez établir les acteurs responsables. Pour ce faire, demandez-vous à qui incombe la mise en place des règles associées. Si vous identifiez un interlocuteur unique (un prestataire, un utilisateur, un chef d’équipe), notez son nom dans la colonne prévue.
Vous décidez de formaliser ce bilan sous une forme synthétique, et de le placer dans la PSSI. Par exemple, pour la catégorie “Terminaux utilisateurs”.
Terminaux
Ensemble de moyens
Responsable
Ordinateur de bureau
Responsable informatique
Ordinateur portable
Responsable informatique
Tablette
Responsable informatique
Téléphone portable
Responsable informatique
Périphériques
Ensemble de moyens
Responsable
Imprimante
Responsable informatique
Scanner
Responsable informatique
Stockage amovible
Ensemble de moyens
Responsable
Clé USB
Responsable informatique
Disques durs
Responsable informatique
CD ROM
Responsable informatique
Clé USB protégée
Responsable informatique
Le reste de l’inventaire se trouve dans le document PSSI final, auquel vous aurez accès à la fin du cours.
Gardez en tête que ce type de bilan est relativement stable, mais qu’il faudra le compléter si de nouveaux éléments sont acquis, afin de bien les incorporer dans le périmètre de la PSSI.
Le cœur de ce chapitre est l’établissement des biens à protéger dans le périmètre de la PSSI. Une fois cet inventaire établi, vous allez pouvoir associer à chaque règle de sécurité les éléments de ce patrimoine concernés par une mesure particulière. Dans le prochain chapitre, je vous invite à identifier les principaux risques qui pèsent sur le SI du laboratoire PM27.
En résumé :
la phase de bilan des biens vise à déterminer les éléments du patrimoine matériel et organisationnel que les règles de la PSSI vont contribuer à protéger, pour permettre à la structure de mener ses activités ;
il ne s'agit pas de répertorier finement les matériels au sens d’une gestion logistique, mais plutôt d'identifier les groupes de composants semblables dont la responsabilité incombe à un acteur unique.