Réaliser un inventaire des actifs vous permettra de construire un système de management de la sécurité (SMSI) efficace et de vous conformer à la norme ISO 27001.

Lorsque nous parlons d’actifs informationnels, nous constatons que la plupart des gens pensent aux ordinateurs et aux serveurs. Mais il y a beaucoup d’autres éléments que vous devez considérer. Les personnes, la propriété intellectuelle et même les actifs incorporels comme la marque de votre organisation peuvent tous entrer dans votre inventaire des actifs. Tout actif qui a de valeur pour l’entreprise doit être protégé et doit alors figurer dans l’inventaire.

Une fois que vous avez dressé votre inventaire des actifs, l’étape suivante consiste à cartographier les risques liés à vos actifs.

L’élaboration de votre inventaire des biens peut sembler assez compliquée au début.

 

 

Comment établir un inventaire des actifs ?

Si vous n’avez pas dressé d’inventaire des actifs auparavant, la façon la plus simple de le faire est de le faire au cours du processus initial d’évaluation des risques (si vous avez choisi la méthode d’évaluation des risques basée sur les actifs), car c’est à ce moment-là que tous les actifs doivent être identifiés, ainsi que leurs propriétaires. Vous pouvez consulter notre article sur « Comment réaliser une analyse de risques conforme à la norme ISO 27001 ? »

La meilleure façon de dresser l’inventaire des actifs est d’interroger le chef de chaque service et de dresser la liste de tous les actifs qu’il utilise. La technique la plus simple est celle du « décrivez ce que vous voyez », demandez à cette personne d’énumérer tous les logiciels qu’elle voit et qui sont installés sur l’ordinateur, tous les documents dans les dossiers et les classeurs, toutes les personnes qui travaillent dans le service, tous les équipements vus dans leurs bureaux, etc.

Bien entendu, si vous disposez déjà de certains inventaires d’actifs (par exemple, le registre des immobilisations, la liste des employés, la liste des logiciels sous licence, etc.), vous n’avez pas besoin de reproduire ces listes – le mieux serait de faire référence à vos autres listes à partir de votre registre des actifs de sécurité de l’information.

La norme ISO 27001 ne prescrit pas les détails qui doivent être répertoriés dans l’inventaire des actifs – vous pouvez répertorier uniquement le nom de l’actif et son propriétaire, mais vous pouvez également ajouter d’autres informations utiles, comme la catégorie de l’actif, son emplacement, certaines notes, etc.

 

Que doit-on inclure dans un inventaire des actifs ISO 27001 ?

La version 2013 de la norme a introduit un changement qui prévoit désormais de prendre en compte tous les biens d’information plutôt que les seuls biens physiques. Cela inclut tout ce qui a de la valeur pour l’organisation où l’information est stockée, traitée et accessible. C’est l’information qui présente un réel intérêt.

Vous devrez lister dans votre inventaire des actifs non-physique :

  • Les informations (ou données)
  • Les biens incorporels – tels que la propriété intellectuelle, la marque et la réputation.
  • Les personnes – employés, personnel temporaire, contractants, bénévoles, etc.

Et les actifs physiques associés à leur traitement et à leur infrastructure :

  • Matériel – généralement des serveurs informatiques, des équipements de réseau, des postes de travail, des appareils mobiles, etc.
  • Logiciels – Logiciels achetés ou sur mesure
  • Services – Le service réel fourni aux utilisateurs finaux (par exemple, les systèmes de base de données, le courrier électronique, etc.)
  • Sites et bâtiments – Sites, bâtiments, bureaux, etc.

Tous les types d’actifs peuvent être regroupés logiquement en fonction d’un certain nombre de facteurs, notamment :

  • la classification – par exemple, public, interne, confidentiel, etc.
  • le type d’information – par exemple, personnelle, personnelle sensible, commerciale, etc.
  • Valeur financière ou non financière

Un auditeur s’attendra à voir un inventaire, ou des inventaires, qui couvrent tous les actifs pertinents dans le cadre du SMSI. Un propriétaire doit être attribué à chaque actif et une classification doit être attribuée à chacun.

 

Qui doit être le propriétaire de l’actif et quelles sont ses responsabilités en vertu de la norme ISO 27001 ?

Le propriétaire n’est pas nécessairement le détenteur légal ou physique de l’actif mais la personne qui endosse la responsabilité et l’autorité correspondante pour s’assurer que, au minimum :

  • les actifs sont inventoriés
  • les actifs sont correctement classifiés et protégés
  • les restrictions d’accès à l’actif et sa classification sont révisées périodiquement
  • les actifs sont traités correctement lorsqu’ils sont supprimés ou détruits.

C’est le propriétaire de l’actif qui est responsable de la définition des exigences de protection de l’actif, telles que la restriction d’accès, conformément aux politiques et normes de l’organisation.

 

Comment l’inventaire des actifs ISO 27001 peut-il vous aider dans votre conformité au RGPD ?

Pour se conformer au Règlement général sur la protection des données (RGPD), une organisation doit tenir un inventaire des systèmes qui stockent et traitent des données personnelles. Il exige également que les risques liés aux données personnelles soient identifiés, évalués et traités, de sorte que l’approche ISO 27001 de l’évaluation des actifs et des risques peut facilement englober et être alignée pour intégrer les exigences du RGPD.

Si vous avez besoin de l’aide d’un consultant pour établir votre inventaire des actifs, n’hésitez pas à nous joindre.

Prendre rendez-vous