Les critères DICP (ou DICT) de classification de l’Information
Dans cet article je tente une explication claire et simple des « critères de classification de l’information », ou « critères DIC » (ou DICP).
Ces critères se retrouvent souvent en sécurité des SIs, quand il faut identifier et valoriser l’information (en jargon « cartographier les actifs informationnels »), ou quand on veut faire une analyse de risques. Ils sont évidemment définis de manière précise et savante dans les normes ISO 27001 et 27005, mais le parti-pris dans cet article est de les présenter via un cas pratique.
A noter qu’on ne parle pas forcément d’information sous forme numérique : les critères de classification de l’information sont les mêmes que les données soient sous forme de fichiers informatiques dans un ordinateur, sous forme écrite dans un dossier papier, ou même dans la tête de quelqu’un…
Un cas pratique : Alice, Bob, et les copains de Bob
Pour illustrer les concepts, voici un exemple d’information :
le numéro de téléphone d’Alice, la petite amie de Bob.
La valeur de cette information, pour Bob, peut se mesurer suivant différents critères, que l’on va voir ci-dessous.
D : Disponibilité
Est-il important pour Bob de disposer du numéro de téléphone d’Alice ? Si c’est Alice qui l’appelle tout le temps, et que ça commence à le gaver, ce n’est pas grave s’il perd le numéro… Inversement, si c’est Bob qui l’appelle régulièrement, il doit garder le numéro d’Alice sous la main. Et s’ils se voient tout le temps mais que les copains de Bob l’entrainent boire une bière, il faut qu’il ait son numéro juste à ce moment-là pour l’appeler et la prévenir qu’il sera en retard – car s’il retrouve son numéro après 4 ou 5 bières il vaudrait peut-être mieux qu’il ne l’appelle pas…
On voit que l’importance de la disponibilité d’une information varie suivant les besoins, les moments et peut même varier selon les circonstances.
En général on peut définir un niveau moyen d’importance de la disponibilité d’une information, suivant le besoin que l’on en a. Dans cet exemple le besoin de disponibilité du numéro d’Alice est sans doute supérieur à celui de Huguette, la maman de Bob, qui aimerait bien d’ailleurs qu’il l’appelle plus souvent.
Bob pourrait classer ses différents contacts selon l’importance de la disponibilité du numéro de téléphone. Par exemple :
- « si je peux retrouver le numéro du club de squash dans la journée c’est parfait » (pour réserver)
- « le numéro de mon voisin me sert rarement mais il faut vraiment que je puisse le retrouver vite » (il a le jeu de clés de secours de l’appartement)
- « il faut absolument que j’aie le numéro de ce copain sous la main cet après-midi » (on doit aller boire une bière mais on n’a pas dit dans quel bar)
De manière générale, on peut donc faire la liste des informations dont on peut avoir besoin, et les classer selon l’importance de leur disponibilité. Cette importance peut changer au fil du temps (comme toujours en sécurité, il faut ré-évaluer régulièrement).
A quoi cela sert-il de classer l’information ? (ici, la disponibilité)
Essentiellement à prendre des mesures appropriées pour assurer la disponibilité de l’information suivant le besoin. En effet, suivant l’importance qu’a pour Bob la disponibilité du numéro d’Alice, il a plusieurs options…
Bob peut l’enregistrer dans le répertoire de son smartphone bien sûr, mais il peut oublier ou se faire voler son téléphone. Il peut apprendre le numéro par cœur, et alors il est à peu près tranquille… sauf s’il est au bar, et doit demander à un copain de beuverie d’appeler Alice pour lui raconter un bobard justifiant qu’il a oublié leur rendez-vous : comme il a trop bu, il ne parvient pas à se souvenir du numéro. Pour être vraiment sûr d’avoir le numéro, il peut l’avoir écrit dans la paume de sa main – et si ces circonstances se répètent souvent, se le faire tatouer sur le biceps. Ou encore donner le numéro à ses différents copains de bar. Mais cela soulève un autre problème : veut-il vraiment que tous ses copains aient le numéro d’Alice, car après tout, il n’a pas tellement envie de se faire piquer sa copine…
A présent qu’on a vu en détail comment réfléchir à l’importance du critère « disponibilité », on va pouvoir très rapidement comprendre les trois autres.
C : Confidentialité
Est-il important que le numéro d’Alice soit connu de Bob seulement ? S’il craint que l’un de ses copains utilise le 06 d’Alice pour lui proposer un cinéma (pour commencer…), il aura veillé à ne pas communiquer le numéro et aura mis un mot de passe pour protéger l’accès à son smartphone. Évidemment dans ce cas, la solution du tatouage, excellente pour la disponibilité, est plus discutable pour la confidentialité…
On voit que les critères D et C peuvent s’opposer. Il faut savoir ce que l’on veut. Si on cherche avant tout à assurer « D » c’est souvent assez facile : il suffit de faire de nombreuses copies d’une information, sous différentes formes, mais alors on ne peut pas assurer sa confidentialité. Et on a un autre problème : comment en assurer l’intégrité ?
I : Intégrité
Le troisième critère pour classer les informations est l’intégrité. A quel point est-il important que l’information soit la bonne ?
Supposons qu’Alice change de numéro. Remarquons que dans ce cas ce serait ballot que Bob se soit fait tatouer l’ancien… Par ailleurs, s’il l’a noté à de nombreux endroits, il va passer un certain temps à tout mettre à jour, et d’ici là (en supposant qu’il n’oublie aucune copie), il y aura un problème d’intégrité : il risque de tomber sur une copie pas à jour. On voit que la disponibilité s’oppose à l’intégrité quand l’info a tendance à changer.
Dans la plupart des cas, si Bob utilise l’ancien numéro, cela aura peu de conséquences. Il s’en apercevra vite et pour autant que le numéro soit disponible ailleurs, il aura juste perdu un peu de temps (et dérangé quelqu’un – vous peut-être ?).
Mais supposons qu’un de ses copains décide de modifier le numéro d’Alice sur son portable (il lui emprunte pour passer un coup de fil, et en profite pour accéder et modifier le répertoire).
Si le copain en question est celui qui veut sortir au cinéma avec Alice (et plus si affinité), il peut enregistrer un numéro d’un téléphone toujours sur répondeur (s’il est futé il aura même acheté une carte prépayée à cet effet), et Bob ne parviendra pas à joindre Alice, sans se rendre compte que cela permet au « copain » de passer une soirée tranquille avec sa copine…
Par contre s’il s’agit juste de faire une blague, il va remplacer le numéro d’Alice avec celui de son ex-, de sa mère, ou de sa prof. de math, bref, ce qui aura les conséquences les plus amusantes, quand Bob appellera celle qu’il pensera être Alice pour lui dire « allo chérie, c’est Bob, ce soir j’ai vraiment envie de <censuré> ».
Dans notre exemple, Bob pourrait assurer l’intégrité du numéro, ainsi qu’augmenter sa disponibilité, en synchronisant régulièrement le téléphone avec le carnet d’adresse sur son PC, ou sur google (s’il n’a pas peur qu’un agent de la NSA lui pique sa copine), et en réglant le logiciel pour qu’il signale une modification sur le téléphone et pas sur le PC par exemple. On voit que c’est un peu compliqué, et si l’intégrité d’une information est importante, les mesures à mettre en œuvre ne sont pas simples, surtout si on veut se prémunir contre la malveillance…
P : Preuve (ou T : traçabilité)
Dans la continuité de l’exemple, où quelqu’un a volontairement modifié le numéro d’Alice, supposons que Bob veuille trouver qui lui a fait ce sale coup, pour se méfier à l’avenir du copain en question.
Il va donc essayer de trouver le coupable. Il a prêté son téléphone à plusieurs personnes, et il y a au moins trois personnes qui connaissent le code d’accès. Évidemment, il leur a demandé, et ils nient tous (je passe sur le cas où le smartphone n’a pas de code d’accès, ce qui si on a bien suivi, n’est acceptable qu’au cas où on se fiche à la fois de la confidentialité et de l’intégrité de l’ensemble de son carnet d’adresses… Odile, Sylvie, cette remarque est pour vous !)
Bref, est-il important ou pas que Bob puisse apporter la preuve de la culpabilité de tel ou tel copain ? Si c’était la blague avec le prof de math, sans doute pas. Si par contre il veut savoir qui sort avec sa copine, c’est autre chose…
Ce quatrième critère « Preuve » (ou Traçabilité) n’est pas toujours pris en compte lorsqu’on analyse de l’information. On voit qu’il n’a pas toujours la même importance que les autres, mais surtout, il est plus difficile de mettre en place des mesures permettant de savoir qui a saisi/supprimé/modifié une information (et voire d’en avoir la preuve).
Il y a peu de cas où le critère « Preuve » est suffisamment important pour qu’on se donne les moyens de l’assurer : c’est par exemple le cas pour les transactions financières et les « signatures » numériques de contrats.
Quant à Bob, s’il voulait se donner les moyens de trouver qui modifie son carnet d’adresse à son insu, il pourrait, par exemple :
- enregistrer tout ce qui est saisi sur son téléphone, avec les heures précises (« logs ») – des keyloggers sur android et sur iOs jailbreakés permettent cela (plus souvent employés par des pirates que l’utilisateur légitime cependant)
- régulièrement faire une sauvegarde du carnet d’adresse dans des fichiers différents (« snapshots »)
Si Bob se rend compte qu’un numéro a été changé à son insu (et accessoirement que sa prof de math n’a décidément aucun humour), il peut retrouver à quel moment cela a été fait (logs), ou au moins la période où c’est arrivé (entre deux snapshots), ce qui suffira peut-être à trouver le coupable, s’il se rappelle à qui il a prêté son téléphone à ce moment (et s’il veut vraiment y arriver, il aura noté quand et à qui il aura prêté son téléphone !)
On voit que si le critère « preuve » est important, cela va être compliqué à assurer. Et encore plus si on veut que la preuve soit valable légalement, devant un tribunal !
Test pour voir si vous avez bien compris
Supposez que vous disposez d’une information (des numéros de téléphone par exemple) sur une feuille de papier, et imaginez comment :
- assurer facilement la disponibilité (au détriment de la confidentialité)
- assurer facilement l’intégrité et la confidentialité (au détriment de la disponibilité),
- assurer facilement la confidentialité (au détriment de l’intégrité)
- assurer facilement la preuve de la communication (au détriment de la confidentialité)
Réponses
Il peut y avoir plusieurs réponses valables, en voici une possible pour chaque cas :
- on donne des copies à plusieurs personnes,
- on met le papier dans un coffre fort,
- on mémorise l’information et on avale le papier,
- on affiche le papier au vu de tous.
Conclusion
On a vu le sens des critères D,I,C,P, qui permettent de classer l’information. Suivant l’importance d’une information selon chaque critère, on va mettre en œuvre des mesures différentes pour en assurer la sécurité.
Dans le domaine de la sécurité du système d’information, on classe systématiquement les informations suivant ces critères, ce qui déterminera comment elle doivent être gérées. C’est clairement le cas quand il faut concevoir un système de bases de données distribué mondialement, mais c’est vrai en général pour tous les supports : contrats signés sur papier, savoir-faire dans la tête des gens etc…
Il faut choisir quels critères sont les plus importants, en fonction des besoins des utilisateurs.
En pratique, en se donnant une échelle quantitative pour les différents critères, on va pouvoir construire un système d’information avec une gradation de solutions adaptées suivant les besoins, avec évidemment des mesures d’autant plus coûteuses que :
- l’importance pour tel ou tel critère est élevée : plus elle est élevé, plus les coûts le sont aussi (avoir besoin de l’information dans la seconde est plus coûteux que dans la journée, en avoir besoin uniquement à un endroit n’a rien à voir à en avoir besoin dans le monde entier…)
- les besoins sont élevés pour plusieurs critères simultanément : dans ce cas les solutions peuvent être complexes et très coûteuses. On peut citer l’exemple des solutions de réservations aériennes, qui exigent une disponibilité en temps réel et au niveau mondial, une fiabilité (intégrité) à tout épreuve, la confidentialité des données personnelles, ainsi que la traçabilité et preuve des transactions : d’où le coût très élevé des solutions en question ! (Amadeus, merci de me faire le virement )
A noter que dans un précédent article « La cybersécurité industrielle, c’est quoi » il était expliqué que lorsqu’on fait une analyse de risques avec des scénarios d’attaque, ces critères nous sont bien utiles également, et en particulier dans le domaine des infrastructures critiques, ce sont les scénarios d’attaque touchant à l’intégrité (I) qui ont les conséquences les plus graves.
Et (mais ça c’est une autre histoire) pour les installations critiques comme pour Bob, il faut particulièrement se méfier de ses amis, qui ont accès aux systèmes informatiques contenant les informations dont l’intégrité est importante !
Anecdote
En anglais, les critères DIC se traduisent par CIA !
(confidentiality, integrity, availability)
Tags: DIC
Elle me manque Alice ..;
Merci pour cet article. Je me suis bien amusé en le lisant Et je vais peut-être même apprendre quelque chose : je n’ai effectivement pas compris la pertinence de la réponse 4. En quoi l’absence de tout contrôle d’accès à l’information constitue-t-elle une preuve quelconque ?
Demande subsidiaire : je cherche désespérément un typage des 114 mesures de sécurité de la norme ISO 27002 selon les critères préventif, « détectif » et correctif. EBIOS a fait un certain travail pour sa propre base de connaissances relative aux contrôles de sécurité mais je le trouve très discutable.
Pour la réponse 4, la question était mal formulée… merci de votre remarque j’ai reformulé. « Comment démontrer qu’une communication a bien eu lieu? » et donc la réponse consiste à prendre tous les passants comme témoins… C’est aussi efficace d’un recommandé avec accusé de réception, mais en perdant la confidentialité. C’est un peu aussi le principes des transactions bitcoins, où les plateformes rendent consultables et traçables toutes les transactions, ou l’affichage règlementaire (règlement intérieur… Bon ok c’est un peu tiré par les cheveux, mais du moment que ça fait réfléchir !
Pour les mesures 27002 en effet je n’ai pas connaissance d’une catégorisation à la CISSP ou autres approches, qui structurent en prévention, détection, réaction… C’est pas forcément évident d’ailleurs, par exemple la cryptographie, qui occupe un chapitre entier, sert à la fois à la prévention (chiffrement pour confidentialité), et à la détection (contrôle d’intégrité par signature). Idem pour l’organisation, qui logiquement doit être efficace dans les différentes étapes.
(pardon pour la réponse un peu tardive, un an et 4 mois… mais je suis en train de réactiver le blog juste maintenant !)