Identifier les actifs

Cela consiste à faire une liste de tous les éléments importants en matière d’information au sein du périmètre SMSI. Il existe différent types d’actifs :

  • matériel
  • physique
  • logiciel
  • humain
  • documents
  • immatériels


Pour l’identification des actifs, trois problèmes se posent :

Le niveau de granularité: plus la notion de granularité est élevée plus la notion d’actif est large.
Lister le plus important : le but n’est pas de faire une liste exhaustive d’actifs mais de recenser les plus importants d’entre eux.
Ne pas confondre les actifs avec les actifs d’information : un actif est un élément qui possède de la valeur pour l’entreprise, alors qu’un actif d’information est ce qui possède de l’importance en matière d’information.
Il est aujourd’hui indispensable de disposer de plans de sécurisation de l’activité pour en assurer la continuité et la reprise si un sinistre survient (Plan de reprise d’activité). Ces plans tentent de minimiser les pertes de données et d’accroître la réactivité en cas de sinistre majeur. Un plan de continuité d’activité efficace est quasi-transparent pour les utilisateurs, et garantit l’intégrité des données sans aucune perte d’information.

Identifier les personnes responsables
C’est la personne responsable d’un bien qui en répond. Il s’agit en général de celle qui connaît le mieux la valeur et les conséquences de disponibilité, d’intégrité et de confidentialité de l’actif. Dans une entreprise c’est généralement le responsable de la sécurité des systèmes d’information qui connait le mieux les actifs de l’information.

Identifier les vulnérabilités
Chaque actif recensé présente des vulnérabilités, c’est une propriété intrinsèque du bien qui l’expose à des menaces.

Source : https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information