Niveaux d'Impact
Les niveaux d'impact sont utilisés dans certains cadres de sécurité, tels que ceux fournis par le Département de la Défense des États-Unis (DoD), pour catégoriser l'impact potentiel de la divulgation, de l'altération ou de la destruction non autorisées d'informations.
Qu'est-ce que les niveaux d'impact?
Les niveaux d'impact sont utilisés dans certains cadres de sécurité, tels que ceux fournis par le Département de la Défense des États-Unis (DoD), pour catégoriser l'impact potentiel de la divulgation, de l'altération ou de la destruction non autorisées d'informations. Ces niveaux aident à guider la sélection des contrôles et mesures de sécurité qui doivent être mis en œuvre pour protéger les informations et les systèmes d'information en fonction de leur sensibilité et de leur importance.
Dans le contexte de l'informatique en nuage, par exemple, le DoD catégorise les services cloud en catégories de Niveaux d'Impact (IL), allant de IL2 à IL6, qui définissent le type de données pouvant être traitées, stockées et utilisées sur un service cloud, ainsi que les protections de sécurité nécessaires.
Voici un aperçu général de ce que représentent les différents niveaux d'impact :
- Niveau d'Impact 2 (IL2) : Pour des informations non contrôlées non classifiées qui ne sont pas sensibles. Convient pour des données publiques ou non sensibles.
- Niveau d'Impact 4 (IL4) : Pour des informations non classifiées contrôlées (CUI) nécessitant une protection contre la divulgation non autorisée.
- Niveau d'Impact 5 (IL5) : Pour les informations CUI nécessitant un niveau de protection plus élevé, et pouvant également être utilisées pour les systèmes de sécurité nationale.
- Niveau d'Impact 6 (IL6) : Pour des informations classifiées jusqu'au niveau Secret.
Chaque niveau supérieur inclut généralement les exigences des niveaux inférieurs et ajoute des contrôles ou mesures supplémentaires. Ces niveaux d'impact influencent non seulement les solutions technologiques mais aussi les politiques, procédures et la formation du personnel qui doivent être en place pour l'accréditation d'un système d'information.