"critères de sécurité"

Réponse d’un membre du Club EBIOS : “deux solutions”

Plusieurs propositions sont possibles pour démontrer que les problématiques associées à la traçabilité sont traitées dans une étude EBIOS sans pour autant considérer la traçabilité comme un critère :

• une solution élégante mais un peu théorique : on considère l’information “traces” (ou “preuve”, ou “log”) comme un bien essentiel, et la traçabilité devient l’intégrité et la disponibilité de ce bien essentiel. Cela revient à limiter l’étude aux traces qui induisent un événement redouté et à mettre hors périmètre des biens essentiels les autres, pour éviter les colonnes remplies de “0” ;
• une solution appliquée : la traçabilité n’est pas un critère, mais une mesure de sécurité. Pouvoir tracer une action relève d’une mesure à la fois de dissuasion mais aussi de récupération, et considérer la traçabilité comme tel permet de se limiter à l’étude des événements (vraiment) redoutés : on admet que ne pas pouvoir tracer n’est pas réellement l’événement redouté, mais permet de réduire le risque associé.

Réponse d’un autre membre : “la traçabilité n’est pas un critère de sécurité”

Les critères de sécurité servent à apprécier les impacts en cas d’atteinte de chacun d’eux, et en particulier à étudier les besoins de sécurité. En sécurité de l’information, seules la disponibilité, l’intégrité et la confidentialité sont considérées comme des critères de sécurité (voir notamment les normes ISO/IEC 2700x). Il ne faut pas les confondre ni avec les thèmes de mesures de sécurité, ni avec les références réglementaires. En effet, le (faux) besoin de traçabilité vient du fait qu’on souhaite savoir ce qui s’est passé après un incident (mesure de détection) et/ou d’obligations diverses (légales, réglementaires, sectorielles ou liées à la politique SSI). Il est donc inutile, et même contre-productif d’étudier le besoin de traçabilité.

En outre, il conviendrait de disposer d’une échelle de besoins et d’une échelle d’impacts liées à la traçabilité. C’est souvent en essayant de les construire qu’on se rend compte qu’il s’agit d’une “envie de quelqu’un” qui relève de la mesure de sécurité ou de la couverture d’un “risque” juridique.

Enfin, ceci impliquerait d’étudier toutes les menaces qui mènent à une perte de traçabilité ! Or, ceci relève de la bonne mise en œuvre d’une mesure de sécurité, qu’il n’est pas nécessaire de traiter comme un risque (ou sinon il faudrait le faire pour le chiffrement, le contrôle d’accès, etc.). Toutefois, l’étude des besoins étant un instrument de communication avec les métiers, il est possible d’intégrer la traçabilité dans les critères de sécurité pour que les métiers adhèrent davantage à la démarche en voyant leur point de vue pris en compte…