Découvrir la classification des données

Effectué

Les données sensibles présentent un risque important pour une entreprise si elles sont volées, partagées par inadvertance ou exposées suite à une violation. Les facteurs de risque incluent les atteintes à la réputation, les conséquences financières et la perte d’avantage concurrentiel. La protection des données et des informations qu’une entreprise gère est une priorité absolue pour toutes les organisations. Toutefois, certaines peuvent trouver difficile de savoir si leurs efforts sont vraiment efficaces, compte tenu de la quantité de contenu qu’elles gèrent.

En plus du volume, le contenu d’une organisation peut varier en importance, allant de très sensible et percutant à trivial et temporaire. Il peut également être sous le contrôle de diverses exigences de conformité réglementaire. Il peut être difficile de savoir quoi prioriser et où appliquer les contrôles.

Les organisations répondent à ces préoccupations en implémentant la classification des données. La classification des données est un terme spécialisé utilisé dans les domaines de la cybersécurité et de la gestion du cycle de vie des données. Il décrit le processus d’identification, de catégorisation et de protection du contenu en fonction de son niveau de sensibilité ou d’impact. Dans sa forme la plus élémentaire, la classification des données est un moyen de protéger les données d’une organisation contre toute divulgation, modification ou destruction non autorisée en fonction de leur sensibilité ou de leur impact.

Les organisations classifient les données de plusieurs façons, notamment :

  • Étiquettes de confidentialité
  • Étiquettes de rétention
  • Types d’information sensible
  • Classifieurs entraînables

Qu’est-ce qu’un cadre de classification des données ?

Les organisations codifient souvent un cadre de classification des données (parfois appelé « stratégie de classification des données ») dans une stratégie formelle à l’échelle de l’entreprise. Les cadres de classification des données sont généralement composés de trois à cinq niveaux de classification. Ces niveaux incluent généralement trois éléments : un nom, une description et des exemples concrets.

Microsoft recommande de ne pas dépasser cinq étiquettes parentes de niveau supérieur, chacune avec un maximum de cinq sous-étiquettes (25 au total) pour que l’interface utilisateur reste gérable. L’interface utilisateur organise généralement les niveaux du moins sensible au plus sensible, par exemple :

  • Public
  • Interne
  • Confidentiel
  • Hautement confidentiel

Les autres variantes de nom de niveau que vous pouvez rencontrer sont les suivantes :

  • Restreint
  • Non restreint
  • Protection du consommateur

Microsoft recommande des noms d’étiquette qui sont explicites. Ils doivent également mettre clairement en évidence leur sensibilité relative. Par exemple, Confidentiel et Restreint peuvent laisser un doute de niveau de confidentialité. En comparaison, Confidentiel et Hautement confidentiel sont plus clairs.

Le tableau suivant montre un exemple de niveau de cadre de classification des données Hautement confidentiel :

Niveau de classification Description Exemples
Hautement confidentiel Les données hautement confidentielles sont le type de données le plus sensible. Ces données sont stockées ou gérées par l’entreprise et peuvent nécessiter des notifications légales en cas de violation ou de divulgation.

Les données restreintes nécessitent le niveau de contrôle et de sécurité le plus élevé. Les organisations doivent limiter leur accès sur la base du besoin.
- Informations personnelles de l’utilisateur
- Données du titulaire de carte
- Informations médicales protégées (PHI)
- Données de compte bancaire

Conseil

Le cadre de classification des données d’entreprise de Microsoft utilisait à l’origine une catégorie et une étiquette nommée « Interne ». Toutefois, au cours de la phase pilote, il a été constaté qu’il existait certaines raisons légitimes de partager certains documents en externe. Par conséquent, l’étiquette « Général » a remplacé l’étiquette « Interne ».

Un autre composant important d’un cadre de classification des données est les contrôles associés à chaque niveau. Les niveaux de classification des données en eux-mêmes sont simplement des étiquettes (ou balises) qui indiquent la valeur ou la sensibilité du contenu. Pour protéger ce contenu, les cadres de classification des données définissent les contrôles qui doivent être en place pour chaque niveau de classification des données. Ces contrôles peuvent inclure des exigences liées aux éléments suivants :

  • Type et emplacement de stockage
  • Chiffrement
  • Contrôle d’accès
  • Destruction des données
  • Prévention des pertes de données
  • Divulgation publique
  • Journalisation et suivi de l’accès
  • Autres objectifs de contrôle, selon les besoins

Les contrôles de sécurité d’une organisation varient selon le niveau de classification des données. Par exemple :

  • Les mesures de protection définies dans le cadre d’une organisation peuvent augmenter en fonction de la sensibilité de son contenu.
  • Les exigences de contrôle du stockage des données peuvent varier en fonction du média utilisé et du niveau de classification appliqué à un élément de contenu donné.

Le tableau suivant montre un exemple de contrôles de classification des données pour un type de stockage spécifique.

Type de stockage Confidentiel Interne Non restreint
Stockage amovible Interdit Interdit sauf si chiffré Aucun contrôle requis

L’application correcte du bon niveau de classification des données peut être complexe en situation réelle. Par conséquent, elle peut parfois submerger les utilisateurs finaux. Le processus ne se termine pas une fois qu’une organisation crée une stratégie ou une norme qui définit les niveaux requis de classification des données. En effet, il est important de guider les utilisateurs finaux sur la manière d’utiliser ce cadre de stratégie dans leur travail quotidien. C’est là que les règles ou recommandations de gestion de la classification des données entrent en jeu.

Les instructions de gestion de la classification des données aident les utilisateurs finaux grâce à des conseils spécifiques sur la façon de gérer chaque niveau de données de manière appropriée, pour différents supports de stockage tout au long de leur cycle de vie. Ces instructions aident également les utilisateurs finaux à appliquer correctement les règles dans la pratique. Par exemple, lors du partage de documents, de l’envoi d’e-mails ou de la collaboration entre différentes plateformes et organisations.

Les clients Microsoft indiquent qu’environ 50 % d’un projet Information Protection est axé sur l’entreprise plutôt que technique. Par conséquent, la formation et la communication des utilisateurs finaux sont essentielles.

Créer un cadre de classification des données bien conçu

À mesure que les organisations développent, réorganisent ou affinent leurs cadres de classification des données, elles doivent tenir compte des pratiques exemplaires suivantes :

  • Ne vous attendez pas à passer du tout au tout le premier jour. Microsoft recommande une approche étape par étape. Les fonctionnalités critiques pour l’organisation doivent être hiérarchisées et mappées par rapport à une chronologie. Effectuez la première étape, assurez-vous qu’elle a réussi, puis passez à la phase suivante, en appliquant les leçons apprises. Gardez à l’esprit que la conception de votre cadre de classification des données n’élimine pas l’exposition de votre organisation au risque. Par conséquent, il est possible de commencer petit avec seulement quelques niveaux de classification et de les développer plus tard en fonction des besoins.

  • Vous n’écrivez pas seulement pour des professionnels de la cybersécurité. Les cadres de classification des données sont destinés à un large public. Vous pouvez vous adresser à votre personnel, à vos équipes juridiques et de conformité ou à votre équipe informatique. Il est important d’écrire des définitions claires et faciles à comprendre pour vos niveaux de classification des données. Fournissez des exemples concrets dans la mesure du possible. Essayez d’éviter le jargon et envisagez de créer un glossaire pour les acronymes et les termes très techniques.

  • Implémenter vos cadres de classification des données. Il ne suffit pas aux organisations de simplement concevoir des cadres de classification des données. Pour réussir, les organisations doivent également les implémenter. C'est particulièrement important lorsqu'il s'agit d'élaborer les exigences de contrôle pour chaque niveau de classification des données. Veillez à définir clairement les exigences. Vous devez également anticiper et résoudre toute ambiguïté qui peut survenir pendant l’implémentation. Par exemple, si vous avez un contrôle sur les informations personnelles des clients, veillez à préciser exactement en quoi consiste ce contrôle, comme le numéro de sécurité sociale ou de passeport.

  • Ne passez à la granularité que si besoin. Les cadres de classification des données contiennent généralement entre 3 et 5 niveaux de classification des données. Mais ce n’est pas parce que vous pouvez inclure cinq niveaux que vous devez le faire. Tenez compte des critères suivants pour déterminer le nombre de niveaux de classification dont vous avez besoin :

    • Votre secteur d’activité et vos obligations réglementaires associées (les industries hautement réglementées ont tendance à avoir besoin de plus de niveaux de classification).
    • Surcharge opérationnelle requise pour maintenir un cadre plus complexe.
    • Vos utilisateurs et leur capacité à se conformer à la complexité et à la nuance accrues associées à davantage de niveaux de classification.
    • L’expérience utilisateur et l’accessibilité lors de la recherche d’une classification manuelle sur plusieurs types d’appareils.
  • Impliquez les bonnes personnes. Le fait d’avoir une partie prenante expérimentée est indispensable à votre succès. De nombreux projets ont du mal à démarrer ou prennent plus de temps sans soutien de la direction. Les équipes informatiques possèdent généralement des cadres de classification des données. Toutefois, ils peuvent avoir des implications juridiques, de conformité, de confidentialité et de gestion des changements. Une organisation doit s’assurer que le cadre qu’elle crée aide à protéger son activité. Pour ce faire, la confidentialité et les parties prenantes juridiques doivent être inclus dans le développement de la stratégie. Par exemple, le responsable de la protection de la vie privée et le bureau du conseiller juridique de l’entreprise. Si votre organisation dispose d’une division conformité, de professionnels de la gestion du cycle de vie des données ou d’une équipe de gestion des enregistrements, leur contribution peut être précieuse. Lorsque vous déployez votre cadre dans l’entreprise, votre service communication a également un rôle clé à jouer, notamment pour le communiquer en interne et le faire adopter par tous.

  • Trouver l’équilibre entre sécurité et facilité. Une erreur courante consiste à rédiger un cadre de classification des données sécurisé mais trop restrictif. Bien que les organisations définissent ce type de cadre en gardant la sécurité à l’esprit, elles ont souvent du mal à savoir les implémenter. Si les utilisateurs doivent suivre des procédures complexes, rigides et fastidieuses pour appliquer le cadre dans leur vie quotidienne, il y a toujours un risque qu’ils ne croient plus en sa valeur. Lorsque ce scénario se produit, les utilisateurs cessent généralement de suivre les procédures. Ce risque existe à tous les niveaux de l’organisation, y compris les cadres supérieurs (suite C) au sein de l’organisation. Un bon équilibre entre la sécurité et la facilité, ainsi que des outils faciles à utiliser, conduit généralement à une adoption et une utilisation plus larges par les utilisateurs. N’attendez pas que tout soit parfait pour démarrer l’implémentation de votre cadre, même s’il contient des lacunes. Évaluez plutôt le risque ou la lacune, créez un plan d’atténuation et continuez à avancer. N’oubliez pas que la protection des informations est un parcours. Ce n’est pas quelque chose que vous activez du jour au lendemain. Planifiez, implémentez certaines fonctionnalités, confirmez le succès et recommencez jusqu’à l’étape suivante à mesure que les outils évoluent et que les utilisateurs gagnent en maturité et en expérience.

En outre, gardez à l’esprit qu’un cadre de classification des données traite uniquement ce que votre organisation doit faire pour protéger les données sensibles. Les cadres de classification des données incluent généralement des règles ou des instructions de gestion des données qui définissent comment mettre ces stratégies en place d’un point de vue technique et technologique.

Points faibles de la création d’un cadre de classification des données

Les efforts de classification des données sont, par nature, d’une portée étendue. Ils touchent presque toutes les fonctions au sein d’une entreprise. En raison de cette large portée et de la complexité de la gestion du contenu dans les environnements numériques modernes, les entreprises sont souvent confrontées à des difficultés pour savoir :

  • Par où commencer.
  • Comment gérer une implémentation réussie.
  • Comment mesurer leur progression.

Les organisations rencontrent souvent des difficultés communes au moment de :

  • Concevoir un cadre de classification des données robuste et facile à comprendre. Ce faisant, les organisations doivent déterminer les niveaux de classification et les contrôles de sécurité associés.
  • Développer un plan d’implémentation. Ce plan doit confirmer la solution technologique appropriée, s’aligner sur les processus existants et identifier son impact sur le personnel.
  • Configurer un cadre de classification des données dans la solution technologique choisie.
  • Corriger les lacunes entre les fonctionnalités technologiques de l’outil et l’infrastructure elle-même.
  • Établir une structure de gouvernance. Cette structure doit superviser la maintenance et l’intégrité continues des efforts de classification des données.
  • Identifier des indicateurs de performance clés (KPI) spécifiques pour surveiller et mesurer la progression.
  • Augmenter la sensibilisation et la compréhension des stratégies de classification des données, pourquoi elles sont importantes et comment les respecter.
  • Se conformer aux rapports d’audit interne qui ciblent la perte de données et les contrôles de cybersécurité.
  • Former et impliquer les utilisateurs. Les utilisateurs doivent prendre conscience de la nécessité d’une classification correcte dans leur travail quotidien. Ils doivent également savoir quand appliquer les mesures de classification appropriées.

Gouvernance et maintenance

Une fois qu’une organisation développe et implémente son cadre de classification des données, la gouvernance et la maintenance continues sont essentielles à sa réussite. En plus de suivre les étiquettes de confidentialité des utilisateurs dans la pratique, les organisations doivent mettre à jour leurs exigences de contrôle en fonction des modifications apportées aux réglementations, des pratiques de pointe en matière de cybersécurité et de la nature du contenu qu’elles gèrent.

Les efforts de gouvernance et de maintenance peuvent inclure :

  • L’établissement d’un organisme de gouvernance dédié à la classification des données ou l’ajout d’une responsabilité de classification des données à la charte d’un organisme de sécurité de l’information existant.
  • La définition des rôles et des responsabilités pour les utilisateurs qui supervisent la classification des données.
  • L’établissement d’indicateurs de performance clés pour surveiller et mesurer la progression.
  • Le suivi des pratiques de pointe de la cybersécurité et des modifications réglementaires.
  • Le développement de procédures d’exploitation standard. Ces procédures doivent soutenir et appliquer un cadre de classification des données.

Vérification des connaissances

Choisissez la meilleure réponse pour la question suivante.

Vérifier vos connaissances

1.

Adatum Corporation développe une infrastructure de classification des données. Laquelle des actions suivantes est une meilleure pratique à prendre en considération lors de l'élaboration de ce cadre?