Comment élaborer une politique efficace de classification des données pour une meilleure sécurité de l’information

La classification des données est une composante essentielle de tout programme de sécurité et de conformité de l’information, en particulier si votre organisation maintient d’importants volumes d’information. Il est impossible de maintenir un contrôle adéquat si vous ne savez pas quelles informations vous avez, et où elles sont hébergées, et vous ne pouvez pas assurer le plus haut niveau de protection pour vos actifs les plus critiques si vous ne classifiez pas les données en fonction de leurs niveaux de sensibilité et de valeur.

La première étape consiste à élaborer une politique de classification des données afin de définir quelles sont les données sensibles, et d’établir des règles pour leur protection. Bien que ce document constitue la base pour s’assurer que les données sensibles sont traitées de manière appropriée, de nombreuses politiques de classification des données sont insuffisantes pour diverses raisons, notamment les suivantes :

  • La politique utilise un langage complexe qui est difficile à comprendre et à suivre pour les employés, ce qui leur apporte plus de questions que de réponses.
  • Elle n’est pas soutenue par la formation et ne s’intègre pas dans les flux de travail de l’entreprise.
  • Ses objectifs sont trop ambitieux et difficiles à atteindre.
  • Elle ne définit pas les responsabilités de toutes les parties.
  • Elle ne convainc pas les employés de l’importance de la classification des données.
  • Les politiques sont rédigées une seule fois, et ne sont jamais ni révisées ni réadaptées. Au fur et à mesure que les entreprises évoluent et que leurs besoins changent, une politique de classification des données peut devenir inadaptée en quelques années.

Dans le billet de ce blog, nous expliquons ce qu’est une politique de classification des données et les étapes à suivre pour en créer une et la mettre en œuvre. Au fur et à mesure, nous partageons les meilleures pratiques pour m’assurer que votre politique vous aidera à mieux comprendre vos données sensibles, à répartir correctement les responsabilités et à prendre les meilleures décisions en matière de sécurité de l’information.

Qu’est-ce que la politique de classification des données ?

En général, la politique de classification des données est un document qui comprend un cadre de classification, une liste des responsabilités pour identifier les données sensibles et la description des différents niveaux de classification des données.

L’Université Clark précise qu’une norme de classification des données aide les entreprises à protéger l’information contre des risques tels que la divulgation et les accès non autorisés.

Veuillez noter que la politique de classification de l’information ne doit pas inclure d’exigences sur la façon dont les données doivent être traitées. Vous devez plutôt élaborer un document distinct qui définit les exigences relatives à la protection de chaque classe de renseignements. (Vous pouvez aussi avoir des documents spécifiques sur le traitement de l’information, si certains services de votre entreprise ont des besoins spécifiques.)

À quoi ressemble une bonne politique de classification des données ?

Les politiques peuvent différer dans leurs objectifs et leur structure globale, mais une bonne norme de classification des données répondra aux critères suivants :

  • Les critères de classification doivent être simples pour éviter toute ambiguïté, mais suffisamment génériques pour s’appliquer à différents actifs dans différents contextes.
  • Elle doit être claire et rédigée dans un langage simple.
  • Elle doit s’adapter aux activités de l’entreprise.
  • Elle ne doit comporter que quelques pages, et n’avoir pas plus de trois ou quatre niveaux de classification.
  • Elle doit contenir un point de contact pour tous les cas extrêmes et les situations auxquelles vos employés peuvent être confrontés. Selon la structure de l’entreprise, il peut s’agir d’un Responsable de la Sécurité et des Risques, d’un Responsable de la Protection des Données, d’un Comité de Conformité ou de toute autre personne compétente.
  • Finalement, une bonne politique doit contenir un calendrier de révision. Habituellement, un examen annuel suffit, sauf en cas d’événements externes, comme l’entrée en vigueur de nouveaux règlements.

Quelles sont les étapes à suivre pour élaborer une politique efficace de classification de l’information ?

Pour élaborer une politique viable qui constitue une base solide pour votre projet de classification des données, vous devez suivre ces sept étapes :

Étape 1. Sollicitez l’aide de cadres de niveau C. Avant de commencer à élaborer une politique de classification des données, vous devez demander l’appui d’une personne de niveau C ou du conseil d’administration qui comprend l’importance de la classification et les risques associés aux données. En outre, vous pouvez utiliser cette aide pour travailler en étroite collaboration avec les parties prenantes de l’entreprise sur les prochaines étapes.

Étape 2. Définir le but de la classification des données sensibles. Vous devez expliquer pourquoi vous avez besoin d’une politique de classification des données. Selon la structure de votre entreprise, des processus d’affaires et d’autres facteurs, votre objectif, pour créer une politique de classification des données, pourrait comporter un ou plusieurs des éléments suivants :

  • Cartographier les niveaux de protection des données en fonction des besoins, des budgets et des contraintes de ressources de l’entreprise.
  • Atténuer les risques associés à la divulgation et aux accès non autorisés.
  • Pour être en conformité avec les normes de l’industrie qui exigent la classification de l’information (p. ex., ISO 27001), la récupération d’informations spécifiques dans un délai déterminé (p. ex., RGPD), ou le stockage de l’information uni dans des endroits spécifiques avec un accès limité (p. ex., PCI DSS).

Étape 3. Définir la portée de la politique. Avant de procéder à la classification de sensibilité des données, vous devez définir la portée de votre politique en fonction de la quantité d’informations en votre possession. Les données peuvent se présenter sous différentes formes, et être stockées sur différents types de supports ; vous pouvez avoir des documents électroniques, des bases de données et d’autres systèmes d’information, des documents papier, des données sur des supports de stockage tels que des clés USB et des cartes mémoire, des courriels et bien plus encore.

Étape 4. Préciser les responsabilités. Déterminer qui sera responsable de la mise à jour des protocoles de classification des données pour chaque élément de données. La politique pourrait décrire brièvement les rôles des propriétaires de données, des gestionnaires de données et des utilisateurs de données, ainsi que des employés et du personnel, de la direction, des propriétaires de l’information, du service juridique, de la gestion des dossiers et du service de conformité.

Étape 5. Définir les niveaux de sensibilité des données. Précisez les niveaux de classification des données pour toutes vos sources de données, en fournissant des définitions et des exemples pour chaque niveau. Il n’y a pas de norme stricte pour un tableau de classification des données ; vous devez le développer vous-même, en fonction de la complexité de votre environnement informatique, des exigences de l’industrie et d’autres facteurs. Cependant, il est fortement recommandé de maintenir le nombre de niveaux de classification des données à un minimum (pas plus de 4 niveaux), car il est extrêmement difficile de mettre en pratique un schéma plus complexe. En général, ces niveaux sont similaires aux suivants :

  • Niveau 1 : Données très sensibles de l’entreprise ou de clients
  • Niveau 2 : Données internes sensibles
  • Niveau 3 : Données internes qui ne sont pas destinées à être divulguées au public
  • Niveau 4 : Données pouvant être divulguées au public

Étape 6. Élaborer des lignes directrices pour assurer la sécurité des données. Une fois que vous avez déterminé vos niveaux de classification des données, l’étape suivante consiste à élaborer un ensemble d’activités et de règles qui définissent comment protéger chaque type de bien en fonction de son niveau de confidentialité. Comme nous l’avons déjà mentionné, ce tableau de traitement des données doit être différent de votre politique de classification des données ; de cette façon, vous réduisez la complexité du processus d’approbation chaque fois que vous devez produire une nouvelle version des lignes directrices de traitement parce qu’il y a un changement dans les directives de classification ou les exigences de protection.

Étape 7. Réviser et affiner. Enfin, vous devez vous rappeler que les politiques ne sont pas une chose que vous faites une seule fois et que vous oubliez. Vous devez réviser périodiquement vos politiques de classification des données et vos directives de traitement des données et apporter des modifications si nécessaire.

Exemples de classification des données dans les secteurs public et commercial

Lorsque vous commencez à créer votre tableau de classification des données, vous pouvez envisager d’utiliser comme guides, des exemples d’entités renommées du secteur public et du secteur commercial.

Exemple 1 : Niveaux de classification des données gouvernementales

Le système typique de classification des données gouvernementales utilisé par les gouvernements fédéraux, étatiques et locaux n’assigne pas plus de trois niveaux de sensibilité : top secret, secret et données publiques. Cependant, pour les organisations dont les structures sont extrêmement complexes, un schéma utilisant seulement trois niveaux de classification des données gouvernementales est insuffisant. L’exemple du document d’endoctrinement de sécurité de l’OTAN montre que les données peuvent être classées en six niveaux si nécessaire :

  • Top Secret Cosmic
  • OTAN Secret
  • OTAN Confidentiel
  • OTAN Restreint
  • OTAN NON CONFIDENTIEL (copyright)
  • Renseignements non sensibles pouvant être communiqués au public

Exemple 2 : Niveaux de classifications des données commerciales

Généralement, les organisations qui stockent et traitent des données commerciales utilisent 4 niveaux de classification des données, dont trois niveaux confidentiels (secret, confidentiel, utilisation commerciale seulement) et un niveau public. La même règle s’applique aux organisations médicales et éducatives ; par exemple, l’Université de Boston définit les catégories suivantes pour toutes les données académiques, administratives et autres qu’elle stocke et traite :

  • Usage restreint – La perte ou la modification de ces informations pourrait avoir un effet catastrophique sur les opérations, les biens et les individus de l’entreprise. Cette catégorie comprend les renseignements que l’université a l’obligation légale ou réglementaire de protéger de la manière la plus rigoureuse. Exemples : les renseignements personnels identifiables (RPI) en vertu de la loi du Massachusetts (p. ex. numéros de sécurité sociale, numéros de compte financier et détails de carte de crédit) ; les renseignements médicaux protégés (PHI) couverts par la Health Insurance Portability and Accountability Act (HIPAA) ; les mots de passe et clés non cryptés ; les données criminelles recueillies par l’application informatique.
  • Données confidentielles – La perte de ces informations peut « nuire aux individus ou aux affaires de l’Université de Boston ». Cette catégorie comprend les renseignements visés par des règlements comme la Gramm-Leach-Bliley Act (GLBA) et la FERPA (qui exige la protection des dossiers des étudiants actuels et des anciens étudiants) ; les renseignements personnels identifiables (RPI) qui ne sont pas des données et des emplois à diffusion restreinte.
  • Données internes – Cela comprend toute information potentiellement sensible et qui n’est pas destinée à être partagée avec le public, comme les notes de service, la correspondance et les listes de contacts.
  • Données publiques – Il s’agit de renseignements qui peuvent être divulgués à toute personne, quelle que soit son affiliation avec l’université, comme les communiqués de presse, les renseignements du répertoire qui ne sont pas assujettis à la Family Educational Rights and Privacy Act (FERPA), les catalogues de cours et de formation, et les demandes d’inscription.

Et après

Dès que vous avez rédigé une bonne politique de classification des données et des directives de manipulation spécifiées, vous devez vous assurer que votre politique fonctionne réellement, et que vous disposez des contrôles nécessaires pour assurer la sécurité de l’information. La prochaine étape consistera à étiqueter vos données en fonction de leur degré de sensibilité et de leur appartenance. Pour lancer ce processus, vous devrez décider si vous allez le faire manuellement ou opter pour une solution de classification automatisée des données.

Chaque méthode a ses avantages et ses défis. Si vous choisissez d’effectuer la classification des données manuellement, vous devrez donner aux employés une formation supplémentaire pour améliorer la cohérence de leur travail. Si vous choisissez un système automatisé, vous devrez chercher un soutien financier auprès de la haute direction et attribuer les responsabilités de gestion du logiciel.

Essai gratuit : identifier et sécurisez vos données sensibles