RA-09 - Analyse de criticité (PbMM)
Énoncés :
Déterminer les composants et les fonctions des systèmes en procédant à une analyse de criticité de [Affectation : systèmes, composants de systèmes ou services qui s’y rapportent désignés par l’organisation] à [Affectation : points de décision du cycle de développement des systèmes définis par l’organisation].
Paramètres :Ce ne sont pas tous les composants des systèmes, les services ou toutes les fonctions qui ont besoin de protections importantes. Par exemple, l’analyse de criticité est un principe clé en gestion des chaînes d’approvisionnement, puisqu’elle permet d’optimiser la hiérarchisation des activités de protection. L’identification de fonctions et de composants des systèmes essentiels tient compte des lois, des décrets, de la réglementation, des directives, des politiques, des normes, des exigences de fonctionnalité du système, des interfaces des systèmes et des composants, et des dépendances des systèmes et des composants applicables. Les ingénieures et ingénieurs des systèmes procèdent à une décomposition fonctionnelle d’un système dans le but d’identifier les fonctions et les composants essentiels à la mission. La décomposition fonctionnelle comprend l’identification des missions organisationnelles qui jouissent du soutien des systèmes, la décomposition en fonctions précises permettant l’exercice des missions, ainsi que la traçabilité vers les composants matériels, logiciels et micrologiciels qui sert à mettre les fonctions en œuvre, et ce, même lorsque ces fonctions sont partagées parmi de multiples composants pouvant se trouver à l’extérieur comme à l’intérieur du système. L’environnement opérationnel d’un système ou d’un composant sur système peut avoir une incidence sur la criticité, y compris les dépendances ou les connexions aux systèmes cyberphysiques, aux dispositifs, au système de systèmes, et aux services de TI externalisés. Les composants de systèmes qui permettent un accès direct aux fonctions ou aux composants essentiels des systèmes sont considérés comme étant essentiels en raison de la vulnérabilité qu’ils engendrent. La criticité des composants et des fonctions est évaluée selon l’incidence de leurs défaillances sur les missions organisationnelles qui sont prises en charge par le système contenant les composants et les fonctions en question. Une analyse de criticité est effectuée lorsqu’une architecture ou une conception est en cours de développement, de modification ou de mise à niveau. Si une telle analyse est effectuée tôt dans le cycle de développement du système, les organisations peuvent être en mesure de modifier la conception du système pour réduire la nature critique de ces composants et de ces fonctions en ajoutant, notamment, de la redondance ou des chemins alternatifs dans la conception du système. L’analyse de criticité peut également avoir une influence sur les mesures de protection exigées par les entrepreneures et entrepreneurs chargés du développement. En plus de l’analyse de criticité des systèmes, des composants de systèmes et les services qui s’y rapportent, il est important de tenir compte de l’analyse de criticité de l’information. Une telle analyse est réalisée dans le cadre du processus de catégorisation de la sécurité du contrôle RA-02.