ISMS Copilot
Glossaire ISO 27001

Qu'est-ce qu'un actif dans l'ISO 27001 ?

Aperçu

Un actif dans l'ISO 27001 est tout ce qui a de la valeur pour votre organisation et qui nécessite une protection. Les actifs comprennent les informations, les systèmes, l'équipement physique, les services, les personnes et la réputation de l'organisation qui soutiennent les opérations commerciales et nécessitent des garanties de confidentialité, d'intégrité ou de disponibilité.

Ce que cela signifie en pratique

Les actifs sont ce que vous protégez avec votre SMSI. Votre évaluation des risques commence par l'identification des actifs, puis détermine quelles menaces pourraient leur nuire et quels contrôles sont nécessaires pour les protéger.

Exemple concret : Les actifs d'une entreprise SaaS comprennent : la base de données clients (information), le code source (propriété intellectuelle), les serveurs de production (physique/technique), les employés ayant des compétences spécialisées (personnes), les services cloud tiers (services) et la réputation de la marque (immatériel). Chacun nécessite des mesures de protection différentes.

Types d'actifs

Actifs informationnels

  • Données structurées : Bases de données, feuilles de calcul, registres

  • Documents : Contrats, politiques, procédures, rapports

  • Propriété intellectuelle : Code source, brevets, secrets commerciaux, conceptions

  • Données personnelles : Informations clients, dossiers du personnel (régis par le RGPD)

  • Données financières : Registres de transactions, coordonnées bancaires, états financiers

  • Communications : E-mails, messages de chat, appels enregistrés

Actifs physiques

  • Matériel : Serveurs, postes de travail, ordinateurs portables, appareils mobiles

  • Supports de stockage : Disques durs, clés USB, bandes de sauvegarde

  • Infrastructure : Équipement réseau, câbles, systèmes d'alimentation

  • Installations : Centres de données, bureaux, salles serveurs

  • Documents papier : Dossiers imprimés, contrats, fichiers confidentiels

Actifs logiciels

  • Applications : Logiciels métier, CRM, systèmes ERP

  • Systèmes d'exploitation : OS des serveurs et des postes de travail

  • Outils de développement : IDE, compilateurs, systèmes de build

  • Logiciels sur mesure : Applications développées en interne

  • Licences : Droits d'utilisation des logiciels

Services

  • Services informatiques : Plateformes cloud, applications SaaS, services gérés

  • Services publics : Électricité, climatisation, télécommunications

  • Services de support : Contrats de maintenance, surveillance de la sécurité

  • Prestataires tiers : Fonctions externalisées, consultants

Personnes

  • Expertise spécialisée : Compétences difficiles à remplacer

  • Personnel clé : Individus critiques pour les opérations

  • Connaissances institutionnelles : Processus non documentés connus de personnes spécifiques

Actifs immatériels

  • Réputation : Valeur de la marque, confiance des clients

  • Fonds de commerce : Relations commerciales, position sur le marché

  • Conformité réglementaire : Licences, certifications

Périmètre d'identification des actifs : Concentrez-vous sur les actifs situés dans le périmètre défini de votre SMSI. Si votre périmètre est « application web orientée client et infrastructure de support », les actifs en dehors de cette limite (comme les systèmes RH internes) n'ont pas besoin d'être catalogués aux fins de l'ISO 27001.

Inventaire des actifs (A.5.9)

Pourquoi l'inventaire est obligatoire

La mesure de contrôle ISO 27001 A.5.9 exige un « inventaire des informations et autres actifs associés ». Vous ne pouvez pas protéger ce que vous ne savez pas posséder. L'inventaire des actifs est le fondement de l'évaluation des risques.

Ce qu'il faut inclure dans l'inventaire

Pour chaque actif, documentez :

  • ID de l'actif : Identifiant unique

  • Nom/Description de l'actif : Identification claire

  • Type d'actif : Information, physique, logiciel, service, etc.

  • Propriétaire : Personne responsable de l'actif

  • Emplacement : Emplacement physique ou logique

  • Classification : Niveau de sensibilité (Public, Interne, Confidentiel, etc.)

  • Valeur : Importance pour l'entreprise (optionnel mais utile)

  • Dépendances : Autres actifs dont il dépend ou qu'il soutient

Formats d'inventaire

  • Feuille de calcul : Simple, convient aux petites organisations

  • Base de données : Mieux pour les moyennes/grandes organisations avec de nombreux actifs

  • Outil GRC : Intégré à l'évaluation des risques et à la gestion des contrôles

  • Base de données de gestion de configuration (CMDB) : Actifs techniques suivis dans les systèmes informatiques

Erreur courante : Créer un inventaire exhaustif de chaque stylo et trombone. Concentrez-vous sur les actifs significatifs pour les risques de sécurité de l'information. Un inventaire des actifs de 500 lignes d'articles triviaux est plus difficile à maintenir qu'une liste ciblée de 50 actifs critiques.

Propriété des actifs

Ce que signifie la propriété des actifs

Le propriétaire de l'actif est responsable de :

  • Définir les exigences de classification et de protection

  • Approuver l'accès à l'actif

  • S'assurer que les contrôles appropriés sont appliqués

  • L'examen régulier de la sécurité de l'actif

  • Autoriser la mise au rebut ou le déclassement de l'actif

Propriétaire vs Gardien (Custodian)

  • Propriétaire (Owner) : Rôle métier responsable de l'actif (généralement un responsable ou un cadre)

  • Gardien (Custodian) : Rôle technique gérant la sécurité quotidienne de l'actif (souvent l'équipe informatique)

Exemple : Le VP des Ventes peut être propriétaire de la base de données clients (responsabilité métier), tandis que l'administrateur de base de données en est le gardien (gestion technique).

Bonne pratique : Attribuez des propriétaires à un niveau approprié - assez senior pour avoir l'autorité et la responsabilité, mais assez proche de l'actif pour prendre des décisions éclairées. Un cadre de haut niveau possédant 200 actifs individuels ne peut pas les gérer efficacement.

Classification des actifs (A.5.12)

Pourquoi classer les actifs

La classification garantit que les actifs reçoivent une protection appropriée en fonction de leur sensibilité et de leur valeur. Toutes les données n'ont pas besoin de la même sécurité - la classification permet une sélection proportionnelle des contrôles.

Schémas de classification courants

Basique (3 niveaux)

  • Public : Peut être divulgué librement

  • Interne : Pour un usage interne, non public

  • Confidentiel : Sensible, accès restreint

Standard (4 niveaux)

  • Public : Aucun impact sur la confidentialité en cas de divulgation

  • Interne : Faible impact en cas de divulgation

  • Confidentiel : Impact moyen à élevé en cas de divulgation

  • Secret/Restreint : Impact grave en cas de divulgation

Détaillé (5+ niveaux)

Certaines organisations ajoutent des niveaux tels que « Propriétaire », « Sensible » ou des classifications spécifiques aux réglementations (RPP, DPS, PCI).

Critères de classification

Déterminez la classification en fonction de l'impact sur la CIA s'il est compromis :

  • Confidentialité : Impact d'une divulgation non autorisée

  • Intégrité : Impact d'une modification non autorisée

  • Disponibilité : Impact d'une perte ou d'une indisponibilité

Considérez également :

  • Exigences légales/réglementaires (RGPD, HIPAA, PCI DSS)

  • Obligations contractuelles (accords de confidentialité clients, accords fournisseurs)

  • Valeur commerciale et sensibilité concurrentielle

Directives de classification : Créez des critères de décision clairs pour chaque niveau. Par exemple, « Confidentiel : données personnelles, registres financiers, secrets commerciaux ou données dont la divulgation causerait un préjudice commercial important ou des sanctions réglementaires. »

Évaluation de la valeur des actifs

Pourquoi évaluer les actifs

La valeur des actifs aide à prioriser les efforts de protection et à justifier les investissements dans les contrôles. Les actifs de grande valeur justifient des contrôles plus robustes (et plus coûteux).

Approches d'évaluation

Quantitative (financière)

  • Coût de remplacement (matériel, licences logicielles)

  • Impact sur les revenus en cas d'indisponibilité

  • Amende ou pénalité potentielle en cas de compromission

  • Valeur marchande ou valeur de la propriété intellectuelle

Qualitative (impact métier)

  • Critique : Essentiel à la survie de l'entreprise

  • Haut : Impact commercial significatif

  • Moyen : Impact notable mais des alternatives existent

  • Bas : Impact minimal en cas de perte ou de compromission

Facteurs affectant la valeur de l'actif

  • Coût et effort de remplacement

  • Temps de restauration ou de recréation

  • Dépendance des revenus

  • Importance réglementaire

  • Avantage concurrentiel fourni

  • Impact réputationnel en cas de compromission

La valeur n'est pas seulement le coût : Le coût de remplacement d'une base de données clients peut être modeste, mais sa valeur inclut des années de construction de relations, de veille concurrentielle et d'obligations de conformité au RGPD. La valeur englobe tous les impacts commerciaux, pas seulement le coût financier de remplacement.

Gestion du cycle de vie des actifs

Acquisition

  • Ajouter à l'inventaire des actifs lors de l'acquisition

  • Attribuer un propriétaire et classer

  • Appliquer les contrôles appropriés en fonction de la classification

Utilisation

  • Opérer selon les politiques d'utilisation acceptable (A.5.10)

  • Maintenir les contrôles tout au long du cycle de vie

  • Revoir périodiquement les autorisations d'accès

Modification

  • Mettre à jour l'inventaire lorsque les actifs changent

  • Réévaluer la classification si l'utilisation ou la sensibilité change

  • Suivre les processus de gestion du changement (A.8.32)

Transfert

  • Maintenir la confidentialité pendant le transfert (A.5.14)

  • Mettre à jour la propriété dans l'inventaire

  • S'assurer que les contrôles restent en place

Mise au rebut

  • Supprimer les informations de manière sécurisée (A.8.10)

  • Destruction physique si nécessaire

  • Retirer de l'inventaire

  • Restituer les actifs loués ou sous licence (A.5.11)

Actifs et évaluation des risques

Évaluation des risques centrée sur les actifs

Approche courante d'évaluation des risques :

  1. Identifier les actifs

  2. Déterminer la valeur/classification de l'actif

  3. Identifier les menaces pour chaque actif

  4. Identifier les vulnérabilités que les menaces pourraient exploiter

  5. Évaluer l'impact si la menace exploite la vulnérabilité

  6. Évaluer la probabilité d'occurrence

  7. Calculer le niveau de risque (impact × probabilité)

  8. Sélectionner les contrôles pour réduire le risque

Dépendances entre actifs

Considérez les dépendances dans l'évaluation des risques. Si l'actif A dépend de l'actif B, les menaces pesant sur l'actif B menacent également l'actif A.

Exemple : Votre application web cliente dépend du serveur de base de données. Les risques liés à la base de données deviennent indirectement des risques pour l'application.

Concepts associés

Obtenir de l'aide

Utilisez ISMS Copilot pour générer des modèles d'inventaire d'actifs, créer des schémas de classification adaptés à votre entreprise et lier efficacement les actifs aux évaluations des risques.

Cela vous a-t-il été utile ?