HAUT

Actif primordial – un petit éclaircissement

Un lecteur m’a posé deux questions pertinentes :

  • Les actifs primordiaux et les actifs en support sont-ils forcément porteur de valeur pour l’entreprise ?
  • Est-ce qu’un actif primordial se définit par le fait qu’on ne puisse pas sans passer ?

dont je souhaite partager ma réponse ici.

Rappel

Définition 1 : un actif est tout élément représentant de la valeur pour l’organisme – norme ISO 27000 2.3

Définition 2 : un actif désigne tout élément ayant de la valeur pour l’organisme et nécessitant, par conséquent, une protection – norme ISO 27005 8.2.1.2

Un actif primordial est un actif informationnel. Il ne se définit pas par sa valeur mais par sa nature : processus, activité, information. Strictement, tous les actifs ont de la valeur pour l’entreprise. Mais ce n’est pas parce que l’actif est primordial qu’il aura plus de valeur pour l’entreprise qu’un actif en support.

La valeur de l’actif

Prenons l’exemple suivant pour illustrer mes propos. Une entreprise produit des clés usb intégrant transpondeur et carte à puce. Le processus de production consiste à créer physiquement la clé et à y stocker les informations de sécurité liées au client. Les informations qui sont placées dans la puce sont uniques à chaque client final. Les clés sont donc fabriquées à la commande. L’entreprise s’adresse directement aux clients finaux et travaillent avec des filiales qui les revendent aux entreprises et réalisent/conseillent les adaptations nécessaires dans les SI. La particularité de cette entreprise est qu’elle possède une machine qui permet de réaliser le produit en une seule pièce – c’est là sa valeur ajoutée : elle garantit un haut niveau de sécurité sur la clé par ce système. Sans cette machine, l’entreprise ne peut fonctionner. Si elle n’est pas approvisionnée en matière première (la matière dans laquelle la clé est faite), elle ne pourra pas produire les pièces. Mais si la machine est en panne, le stock (matière première, transpondeurs et cartes à puce) est de l’immobilisation qui peut se traduire en perte (la matière première est faite « sur mesure » et les pièces électroniques peuvent s’abîmer) et entraîner la disparition de l’entreprise.

Pour cette entreprise, les actifs sont les suivants :

  • Actifs primordiaux : processus de fabrication, processus de gestion des stocks, processus commercial (vente aux entreprises), informations clients, informations sur le processus de fabrication, etc.
  • Actifs en support : machine de production et le stock.

Il également évident que la machine est l’actif (actif en support) qui a le plus de valeur pour l’entreprise. La valeur peut être mesurée tant financièrement (elle est très coûteuse) que stratégiquement (si la machine n’existe plus, l’entreprise n’existe plus). Le gestionnaire des risques pourra trouver d’autres éléments de mesures de cette valeur. Regardons maintenant les processus : le processus de fabrication va porter la valeur de la machine, donc sa valeur sera élevée. Le processus de gestion des stocks est lié à la machine mais si on considère le fait que l’entreprise peut s’approvisionner rapidement et en fonction des commandes, il aura une valeur moindre que la machine de production.

Intéressons-nous maintenant à un autre processus : le processus d’entretien (ménage, réparation du bâtiment…). Ce processus a-t-il de la valeur pour l’entreprise ? Bien sûr, il contribue au bien être des employés et il permet de répondre à des normes sanitaires et sociales. Il est également porteur de risques : si la personne qui fait l’entretien jette un seau d’eau sur la machine, elle tombera en panne. Mais si l’entretien s’arrête, est-ce que cela met en péril l’entreprise ? Sûrement pas dans un premier temps. Le processus d’entretien est bien un actif primordial tout comme les informations qu’il porte : le planning de ménage par exemple. Mais, leur valeur est très faible voir nulle dans ce contexte.

On pourra faire le même raisonnement sur les informations, mais cet exemple ne s’y prête pas.

L’actif dont on peut se passer

Pour répondre à la deuxième question, je vais prendre l’exemple d’une société de conseil.

Une société de conseil c’est une entreprise qui vend son savoir-faire à d’autres entreprises. Le savoir-faire est porté par les employés de la société de conseil, appelés des consultants. Les consultants, comme chacun le sait, sont des personnes (le robot n’existe pas encore) qui se basent sur leurs propres expériences, compétences, qualités pour réaliser leurs missions mais également sur l’expérience de l’entreprise par le partage et la capitalisation des expériences passées.

En bref, le consultant se rend chez le client, recueille des informations, rédige un rapport et réalise une synthèse dont il fait part au client et à sa hiérarchie. Le rapport est conservé quelques temps, puis détruit ainsi que toutes les informations du client. Les informations du client sont, pendant un temps mesuré, dans le système d’information de la société de conseil. Tant qu’elles sont légitimement dans la société de conseil elles ont de la valeur et doivent être protégées. Une fois détruite, elles n’ont plus de valeur : elles n’existent plus.

Le consultant, de son côté, possède des informations sur les clients, sur ses recherches, sur son savoir-faire. Même dans un monde idéal, le consultant ne partagera pas tout. Le consultant, mène une vie professionnelle, il quitte l’entreprise. Lorsqu’il part, les informations qu’ils détenaient et qui, par conséquent, étaient dans le système d’information, sont perdues. Même si elles sont archivées, elles sont perdues parce qu’on sait tous que personne n’ira les rechercher. La disparition de ses informations, ne va pas nuire à l’entreprise. Elle va peut être la freiner dans son développement, et encore ! Ces informations sont des actifs primordiaux dont l’entreprise peut se passer. Mais ce n’est pas parce que ces informations sont pas indispensables, que l’entreprise n’aura pas déployé un système de protection de ces données.

Conclusion

Chaque entreprise possède des actifs primordiaux et en support qui ont des valeurs plus ou moins élevées. Bien sûr, dire qu’ils ne possèdent pas de valeur est peut être un peu fort. Mais le gestionnaire des risques devra tout de même se poser la question de la valeur de l’actif et la mettre en balance avec la nécessité d’une protection. La norme 27005 dans l’annexe B définit les actifs comme étant porteur de valeur. Il faut prendre de la hauteur par rapport à cette annexe et comprendre qu’il ne faut pas retenir tous les actifs primordiaux c’est-à-dire toutes les informations et tous les processus, lorsqu’on fait un gestion des risques. Il faudra sélectionner les actifs primordiaux : garder ceux qui sont très importants pour l’entreprise (d’un point de vue financier ou stratégique) et ceux qui possèdent des actifs en support de très grande valeur. Les actifs non retenus sont conservés dans un coin pour les itérations suivantes. Car la norme ISO 27005 fonde le processus de gestion des risques sur un système itératif primordial dans la réussite d’une telle entreprise.

Ce qu’il faut retenir

  • Un actif en support peut avoir plus de valeur que l’actif primordial. Dans ce cas, la norme et l’usage veulent que l’actif primordial prenne la valeur de l’actif en support.
  • Une information peut ne pas avoir de valeur pour l’entreprise.
  • Identifier les actifs à leur juste valeur pour obtenir des résultats cohérents.
  • Certains actifs sont indispensables pour l’entreprise d’autres moins.
Be Sociable, Share!

2 commentaires. Ecrire un commentaire

  1. RAFIKI

    Bonjour Madame LUPFER,

    J’ai une question à propos des critères de Base : Est ce qu’on peut avoir des critères d’impact pour les actifs primordiaux et autre pour les actifs en support correspondants ? ou ayant des critères d’impact pour les actifs primordiaux implique les même critères d’impact pour les actifs en support de ces processus?

    J’espère que j’ai bien expliqué ma problématique.
    Cordialement.

    • Anne Lupfer

      Bonjour Monsieur,

      Il est effectivement possible d’employer des critères d’impacts différents pour les actifs primordiaux et les actifs en support.
      Toutefois, il convient d’être vigilent car multiplier les critères complique le processus et sa réalisation. Il faut également se rappeler qu’il est possible de ne pas mesurer les impacts sur les actifs primordiaux directement mais sur les scénarios d’incident.
      Votre question est très intéressante et nécessite une réponse plus détaillée que celle-ci. Je traiterai donc du choix des critères d’impact en détail très prochainement.

      Cordialement,
      Anne Lupfer

Ecrire un commentaire

Votre email ne sera jamais publié ou partagé.

Vous pouvez utiliser ces tags et attributs HTML :<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>