Aller au contenu principal

Niveau 3 - Vue du système d'information

Aperçu de la gestion des risques de Niveau 3

Le Niveau 3 aborde les risques du point de vue des systèmes d'information et est guidé par le contexte de risque, les décisions de risque et les activités de risque des Niveaux 1 et 2.

Les activités de gestion des risques au Niveau 3 incluent :

  1. La catégorisation des systèmes d'information de l'organisation ;
  2. L'attribution de contrôles de sécurité aux systèmes d'information de l'organisation et aux environnements dans lesquels ces systèmes opèrent, conformément à l'architecture d'entreprise établie par l'organisation et à l'architecture de sécurité de l'information intégrée ; et
  3. La gestion de la sélection, de la mise en œuvre, de l'évaluation, de l'autorisation et de la surveillance continue des contrôles de sécurité affectés dans le cadre d'un processus discipliné et structuré de cycle de vie de développement des systèmes déployé à travers l'organisation.

Au Niveau 3, les propriétaires des systèmes d'information, les fournisseurs de contrôles communs, les ingénieurs systèmes et sécurité, et les officiers de sécurité des systèmes d'information prennent des décisions fondées sur le risque concernant la mise en œuvre, le fonctionnement et la surveillance des systèmes d'information de l'organisation.

Sur la base de ces décisions opérationnelles quotidiennes fondées sur le risque, les responsables d'autorisation prennent des décisions supplémentaires basées sur le risque pour déterminer si les systèmes d'information sont initialement autorisés à fonctionner dans les environnements désignés ou s'ils continuent de recevoir l'autorisation de fonctionner de manière continue.

Ces décisions continues basées sur le risque sont éclairées par le processus de gestion des risques avec l'orientation de l'exécutif en charge des risques (fonction) et les diverses considérations architecturales soutenant les processus missionnels/commerciaux. De plus, les activités au Niveau 3 fournissent un retour d'information essentiel aux Niveaux 1 et 2. De nouvelles vulnérabilités découvertes dans un système d'information de l'organisation, par exemple, peuvent avoir des implications systémiques à l'échelle de l'organisation.

Ces mêmes vulnérabilités peuvent entraîner des modifications de l'architecture d'entreprise et de l'architecture de sécurité de l'information intégrée ou nécessiter un ajustement de la tolérance au risque de l'organisation.

Cycle de Vie du Développement des Systèmes

Tous les systèmes d'information, y compris les systèmes opérationnels, les systèmes en développement et les systèmes en cours de modification, se trouvent dans une phase du cycle de vie du développement des systèmes (SDLC).

En plus des activités de gestion des risques menées aux Niveaux 1 et 2 (par ex., reflétant la stratégie de gestion des risques de l'organisation dans l'architecture d'entreprise et l'architecture de sécurité de l'information intégrée), des activités de gestion des risques sont également intégrées dans le SDLC au Niveau 3. Ces activités ont lieu à chaque phase du SDLC, chaque phase influençant les phases suivantes.

Les activités de gestion des risques au Niveau 3 sont en conformité avec la stratégie de gestion des risques de l'organisation et abordent les risques liés aux exigences de coût, de calendrier et de performance pour les systèmes d'information individuels qui soutiennent les fonctions missionnelles/commerciales.

Le contexte du Niveau 2 et le SDLC déterminent le but et définissent la portée des activités d'évaluation des risques au Niveau 3.

Bien que les évaluations initiales des risques (c'est-à-dire les évaluations effectuées pour la première fois, plutôt que la mise à jour des évaluations précédentes) puissent être effectuées à toute phase du SDLC, elles devraient être réalisées lors de la phase d'Initiation.

Dans la phase d'Initiation, les évaluations des risques évaluent les vulnérabilités anticipées et les conditions prédisposantes affectant la confidentialité, l'intégrité et la disponibilité des systèmes d'information dans le contexte de leurs environnements de fonctionnement prévus. Ces évaluations informent la réponse au risque, permettant aux propriétaires de systèmes d'information et aux gestionnaires de programmes, en collaboration avec les propriétaires missionnels/commerciaux, de prendre les décisions finales concernant les contrôles de sécurité nécessaires en fonction de la catégorisation de la sécurité et de l'environnement opérationnel.

Les évaluations des risques sont également menées à des phases ultérieures du SDLC, actualisant les résultats des évaluations de risques des phases précédentes.

Ces résultats d'évaluation des risques pour les systèmes d'information construits ou déployés incluent généralement :

  • Des descriptions des vulnérabilités dans les systèmes,
  • Une évaluation des risques associés à chaque vulnérabilité (mettant ainsi à jour l'évaluation de la gravité de la vulnérabilité), et
  • Des actions correctives pouvant être prises pour atténuer les risques.

Ces résultats incluent également une évaluation du risque global pour l'organisation et les informations contenues dans les systèmes d'information par l'exploitation des systèmes tels qu'évalués.

Les résultats des évaluations des risques au Niveau 3 sont communiqués aux entités organisationnelles aux Niveaux 1 et 2.

(Sources : NIST SP 800-30, NIST SP 800-39)