Data Classification : Qu’est-ce que c’est, pourquoi en préoccuper, comment la mettre en œuvre

Les entreprises ont limité les ressources qu’il fallait investir dans la sauvegarde de leurs données. Savoir exactement quelles données nécessitent une protection vous aidera à établir les priorités et élaborer un plan solide ; vous pourrez, alors, répartir votre budget et les autres ressources à bon escient, tout en minimisant les coûts de sécurité et de conformité. Mais quel est le meilleur endroit pour commencer ? La classification des données constitue une assise solide pour une stratégie de sécurité de données car elle permet d’identifier les zones à risques dans le réseau informatique, que ce soit sur site ou dans le Cloud.

Définition de la classification de données

La classification des données (Data classification) consiste à les organiser par catégories selon des critères convenus. Soigneusement planifiée, la classification permet l’utilisation plus efficace des données critiques et leur protection dans l’ensemble de l’entreprise ; elle participe également à la gestion des risques et des processus de connaissances légales et de conformité.

Pendant des années, la classification des données était simplement un processus défini par l’utilisateur, mais aujourd’hui les organisations ont des options pour l’automatisation de la classification. Pour les nouvelles données que les utilisateurs créent, les entreprises peuvent établir des processus qui permettent aux utilisateurs de classer les documents qu’ils créent, envoient, modifient ou manipulent de différentes façons. S’ils le veulent, ils peuvent laisser les données anciennes disparaître progressivement sans être classées. Par ailleurs, les entreprises peuvent classer leurs anciennes données existantes, à l’aide de la découverte de données.

La découverte des données (Data discovery)est le processus d’analyse des référentiels de données et du rapport sur les résultats. La découverte de données peut servir à des fins multiples, par exemple, la recherche des données contenues dans l’entreprise, la gouvernance des données et l’analyse et la visualisation des données. Mais lorsqu’il est combiné avec la classification des données, il devient le processus d’identification des ressources qui pourraient contenir des informations sensibles, ce qui vous permet de prendre des décisions judicieuses sur la façon de protéger correctement ces données.

Les avantages de la classification de données

La classification des données vous aide à améliorer la sécurité des données et le respect de la réglementation :

  • Sécurité des données critiques — Pour protéger convenablement les données sensibles de l’entreprise et des clients, vous devez tout d’abord connaître et comprendre vos données. Plus précisément, vous devez être en mesure de répondre aux questions suivantes :
    • Quelles données sensibles avez-vous (IP, PHI, PII, données de carte, etc..) ?
    • Où ces données sensibles sont-elles hébergées ?
    • Qui peut y accéder, les modifier et les supprimer
    • Comment votre entreprise sera-t-elle impactée si ces données sont divulguées, détruites ou mal modifiées ?

Les réponses à ces questions, ainsi que des informations sur l’aperçu des menaces, permettent de protéger les données sensibles en évaluant les niveaux de risque, de hiérarchiser vos initiatives et de planifier et mettre en œuvre de manière appropriée la protection des données et la détection des menaces.

  • Conformité avec les obligations réglementaires — Les normes de conformité obligent les entreprises à protéger les données spécifiques, comme les informations de détenteur de carte (PCI DSS), les dossiers de santé (HIPAA), les données financières (SOX) ou les données personnelles des résidents de l’UE (RGPD). La classification et la découverte de données vous aident à déterminer où se trouvent ces catégories de données et à vous assurer que les contrôles de sécurité appropriés sont en place et que les données sont facilement traçables et peuvent être consultées, selon les règlements en vigueur. En focalisant vos initiatives de conformité sur les données qui sont soumises aux règlementations qui vous régissent, vous augmentez vos chances de passer les audits et de maintenir la conformité au jour le jour.

Lignes directrices pour la classification des données

Il n’y a pas d’approche universelle de la classification des données. Toutefois, le processus de classification peut être décomposé en quatre étapes clés, que vous pouvez personnaliser pour répondre aux besoins spécifiques de votre entreprise lorsque vous développez la stratégie de protection de vos données.

Étape #1. Mettez en place une politique de classification des données. Tout d’abord, vous devez définir une politique de classification des données et la communiquer à tous les employés qui travaillent avec des données sensibles. La politique doit être courte et simple et inclure les éléments de base suivants :

  • Objectifs – Les raisons pour lesquelles la classification de données a été mise en place et les objectifs que la société en attend.
  • Flux de travail – Comment le processus de classification de données sera organisé et quel sera l’impact sur les employés qui utilisent les différentes catégories de données sensibles
  • Schéma de classification de données – Les catégories dans lesquelles les données seront classées.
  • Propriétaires de données – Les rôles et responsabilités des unités commerciales, y compris la manière de classer les données sensibles et d’en octroyer l’accès.
  • Instructions de manipulations – Les normes de sécurité précisent les pratiques appropriées de traitement pour chaque catégorie de données, par exemple de quelle manière elles doivent être entreposées, quels droits d’accès doivent être donnés, comment elles peuvent être partagées, quand elles doivent être encryptées, et les processus et les termes de sauvegarde. Étant donné que ces lignes directrices peuvent changer, il est préférable de les garder dans un document distinct.

Étape #2. Identifiez les données sensibles. Une fois que la politique est établie, il est temps de décider si vous avez besoin d’identifier des données. Si vous choisissez de classer uniquement les nouvelles données, certaines données critiques ou sensibles que vous avez déjà peuvent être laissées insuffisamment protégées. Si ce risque est inacceptable, vous devrez investir de l’argent, du temps et des efforts pour identifier ces données et appliquer à vos données existantes vos politiques en matière de classification.

Vous pouvez automatiser l’identification des données à l’aide d’applications conçues pour déterminer les systèmes et les ressources, comme les bases de données ou les partages de fichiers, qui peuvent contenir des informations sensibles. Certains outils indiquent même aussi bien le volume que la catégorie potentielle des données.

Étape #3. Mettez en place des étiquettes. Une étape facultative consiste à attribuer à chaque ressource de données sensibles une étiquette pour améliorer la mise en œuvre de la politique de classification données. L’étiquetage peut être automatisé selon votre schéma de classification des données ou effectué manuellement par les propriétaires des données.

Étape #4. Utilisez les résultats pour améliorer la sécurité et la conformité. Une fois que vous savez quelles données sensibles vous avez et leurs emplacements de stockage, vous pouvez passer en revue vos stratégies de sécurité pour évaluer si toutes les données sont protégées par des mesures appropriées aux risques encourus. En classant toutes vos données sensibles, vous pouvez donner la priorité à vos initiatives, contrôler les coûts et améliorer les processus de gestion de données.

Étape #5. Répétez les étapes. Les données ne sont pas figées, elles évoluent : chaque jour, des fichiers sont créés, copiés, déplacés et supprimés. Par conséquent, la classification des données doit être un processus continuel dans l’entreprise. Une bonne administration de la procédure de classification des données permettra d’assurer que toutes les données sensibles soient protégées.

Exemples de catégories de classification données

Il n’y a pas de manière correcte unique pour concevoir votre modèle de classification des données et définir vos catégories de données. Par exemple, les agences du gouvernement américain définissent souvent trois types de données : Publique, Secret et Top Secret. L’OTAN a utilisé un schéma de cinq niveaux pour le projet Manhattan. Une des options consiste à commencer avec un type simple de classification des données sur trois niveaux :

  • Les données publiques — peuvent être librement divulgués dans le public (p. ex., les contacts de service clients)
  • Données internes — les exigences de sécurité sont faibles, mais elles ne sont pas destinées à être divulguées au public (p. ex., les organigrammes)
  • Données restreintes – sont des données internes très sensibles dont la divulgation pourrait affecter négativement les opérations et mettre l’entreprise en danger financier ou juridique (p. ex., les informations personnelles de clients, patients et employés, les données d’authentification tels que les identifiants de connexion et les mots de passe).

Votre entreprise peut utiliser ces trois catégories pour définir un modèle de départ de classification des données et par la suite ajouter des niveaux plus granulaires basés sur le contenu des données (PII, PHI, etc.), présentant un intérêt pour les normes de conformité ou les spécificités de l’entreprise ou autres critères.

Comme vous pouvez le voir, la classification des données n’est pas une baguette magique qui sécurise les données ou assure la conformité aux exigences réglementaires en soi. Au contraire, elle aide les entreprises à améliorer leur comportement en matière de sécurité en concentrant leur attention, leurs effectifs et leurs ressources financières sur les données les plus critiques pour l’entreprise. Une fois que vous avez priorisé vos risques, vous comprenez mieux comment assurer la protection appropriée des données et le respect permanent des politiques de sécurité et des règlements.

Essai gratuit : identifier et sécurisez vos données sensibles