DICP
La méthodologie DICP est utilisée par les équipes de gestion de risques et les experts en gestion de la cybersécurité à travers le monde. Elle permet de garantir un certain niveau de sécurité informatique et de traçabilité des contrôles, mais aussi d’en fournir la preuve.
Ce référentiel regroupe 4 facteurs fondamentaux :
la disponibilité (D),
l’intégrité (I),
la confidentialité (C),
la preuve (P).
D : La disponibilité du SI et de ses données
Quand avez-vous besoin de cette donnée ?
Quel est votre usage de cette donnée ?
Sous combien de temps devez-vous obtenir l’information ?
Pendant combien de temps cette donnée peut-elle être indisponible sans perturber votre organisation ?
Quelle serait la conséquence de la perte de cette donnée ?
Les réponses à ces questions vous permettent de déterminer le niveau de disponibilité de la donnée. Une disponibilité élevée signifie que les informations doivent être constamment accessibles par un utilisateur autorisé et qu’une perte d’accès aux données ne peut pas être envisagée.
La conséquence directe de cette exigence de disponibilité réside dans le fait que le matériel, l’infrastructure technique et les systèmes qui conservent et affichent les données doivent être maintenus de manière à garantir une continuité de service quelle que soit la menace (climatique, incendie, erreur humaine, vol, cyberattaque).
I : L’intégrité du système et de ses données
Quelle est la durée de vie de votre donnée ?
À quel point est-ce important que la donnée soit fiable ?
Avez-vous plusieurs mises à jour de la donnée à effectuer dans votre système d’information pour garantir sa fiabilisation ?
Qui peut modifier la donnée, et dans quel cas ?
Autant de questions qui vous renseignent sur votre besoin d’intégrité.
Un système est intègre lorsque les données sont exactes, exhaustives et cohérentes. D’après l’ANSSI, l’intégrité est une « propriété d’exactitude et de complétude des biens et des informations ». Cela signifie que toute modification non légitime, provenant d’un dysfonctionnement technique, d’une erreur humaine ou d’un acte malveillant, doit pouvoir être détectée et corrigée.
Par exemple, le niveau de fiabilité d’une donnée de santé ou d’une donnée financière est maximal. Les systèmes d’information doivent alors garantir que les informations sont inaltérables dans le temps, et ce, quel que soit le lieu de stockage et d’affichage de la donnée. La sécurité des données est alors renforcée afin de garantir le niveau d’intégrité exigé.
C : La confidentialité des données
Qui est autorisé à accéder à l’information ? C’est la seule question à vous poser !
La confidentialité des données permet de réserver l’accès aux informations uniquement aux personnes dûment habilitées. Régulièrement, voire tous les jours, nous sommes amenés à manipuler des données confidentielles : informations protégées par le secret médical, données sensibles, bulletins de salaire, informations stratégiques, brevets informatiques, bilan comptable, stratégie d’entreprise, données soumises à obligation légale ou réglementaire de confidentialité…
Ces quelques exemples nous donnent alors une vision de la complexité de traitement de la donnée en entreprise et de la diversité des niveaux de confidentialité attendus entre salariés et sous-traitants.
P : Des preuves, pour aller plus loin que traçabilité des accès
Comment démontrer que la donnée est sécurisée ?
Quelle est la traçabilité des actions menées ?
Comment certifier l’authentification des utilisateurs ayant accès à la donnée ?
En cas de problème, comment remonter à la source ?
Qui est responsable des actions effectuées sur la donnée ?
Comment assurer la non-répudiation ?
Longtemps appelée DICT avec un T pour « traçabilité », la méthode DICP a vu son quatrième critère remplacé par la notion de « preuve ». Cet item est plus vaste que la seule traçabilité. D’après l’ANSSI, la preuve permet de retrouver « avec une confiance suffisante, les circonstances dans lesquelles ce bien évolue ». En cas de dysfonctionnement ou d’incident de sécurité, la preuve va servir de point de départ à l’investigation. Cette notion est extrêmement importante dans le cas de la signature électronique ou de transactions financières par exemple.