logo

Classification de l’information aux fins de conformité à ISO 27001

ISO 27001 est une norme internationale axée sur la sécurité de l’information. Elle encadre l’établissement, la mise en œuvre, la maintenance et l’amélioration continue des systèmes de management de la sécurité de l’information (SMSI). Pour assurer la conformité, vous devez :

  • Savoir quelles données vous détenez, quelle est leur valeur et qui en sont les propriétaires
  • Hiérarchiser efficacement les contrôles et processus de sécurité
  • Bien protéger vos ressources essentielles, notamment leur confidentialité, leur intégrité et leur disponibilité (les trois principes fondamentaux)
  • Gérer les risques en évaluant la valeur de vos données et l’impact de toute perte, utilisation frauduleuse ou compromission de données spécifiques

Cette norme est facultative, mais de nombreuses entreprises du monde entier font le choix de la respecter. Ses exigences sont adaptées à l’environnement actuel à la fois riche en données et exposé aux risques, pour les organisations de toute taille et de tous secteurs. La conformité à ISO 27001 montre aux auditeurs et aux clients que l’entreprise a mis en place des niveaux de protection appropriés pour ses informations de valeur. Elle aide également les entreprises à se conformer aux exigences légales, à obtenir un avantage concurrentiel, à améliorer leur productivité et à réduire leurs coûts.

ISO 27001 se décompose en différentes annexes qui concernent chacune un domaine spécifique. Dans cet article, nous allons examiner les principales exigences de l’annexe A.8, qui régit la gestion des actifs.

Annexe A.8 : Gestion des actifs

L’annexe A.8 précise les types de contrôles que les organisations doivent mettre en œuvre pour identifier avec précision les ressources de sécurité de l’information, désigner les responsables de la sécurité et protéger les données en fonction de leur niveau de classification. Les contrôles définis par la réglementation sont subdivisés comme suit : contrôles techniques, organisationnels, juridiques, physiques et relatifs aux ressources humaines.

Remarquez qu’ISO 27001 ne définit pas de liste précise des actifs sensibles ; votre organisation doit prendre cette décision avec discernement.

L’annexe est scindée en trois sous-sections principales, décrites brièvement ci-dessous. Nous approfondirons la deuxième sous-section, qui concerne la classification des données.

A.8.1 Responsabilités relatives aux actifs

L’objectif de l’annexe A.8.1 est d’identifier les actifs de données qui relèvent du champ d’application du SMSI et de définir les responsabilités en matière de protection. Lancez un processus de découverte pour identifier toutes les ressources d’information disponibles dans votre organisation, telles que les documents papier, les fichiers numériques, les périphériques amovibles et la messagerie électronique. Créez ensuite un registre des actifs. À chaque actif, affectez un propriétaire de données qui sera chargé de le protéger.

A.8.2 Classification des actifs

La classification des actifs est l’une des mesures les plus importantes pour sécuriser correctement vos données et les rendre accessibles à ceux qui en ont besoin. La classification vous permet de protéger chaque actif selon un niveau de sécurité approprié : vous consacrez ainsi moins de ressources aux données peu sensibles et protégez plus efficacement vos actifs les plus sensibles.

A.8.3 Procédures relatives aux supports amovibles

La sous-section A.8.3 a pour objet d’aider les organisations à empêcher la divulgation, la modification, l’effacement ou la destruction non autorisés d’informations stockées sur des supports amovibles, tels que les clés USB, les CD-ROM et les disques durs amovibles. Elle inclut également des contrôles pour le traitement ou le transfert approprié de ces supports, afin de les protéger contre les violations de données. Elle prévoit par exemple de faire appel à des coursiers agréés et à des emballages sûrs, et de tenir un registre de tous les contenus de données et de leur niveau de protection.

L’annexe A.8.2 en détail : Classification de l’information

Comme nous l’avons vu précédemment, l’annexe A.8.2 porte sur la classification des données et l’étiquetage de chaque actif selon sa sensibilité ou son importance pour votre organisation. Vous pouvez alors mettre en place des protections appropriées (par exemple des restrictions d’accès) en fonction de ces critères. Les sous-sections de l’annexe A.8.2 sont les suivantes :

A.8.2.1 Classification de l’information

Un procédé de classification de l’information idéal reflétera l’activité de l’entreprise, plutôt que de l’entraver ou de la compliquer. Concevez votre procédé en fonction de la sensibilité, de la valeur et de l’importance stratégique de vos données, ainsi que des exigences légales, afin de pouvoir protéger chaque actif de manière appropriée.

La plupart des entreprises commencent avec trois ou quatre catégories seulement. Par exemple, le procédé de classification de l’université de Bath au Royaume-Uni classe ses informations dans les groupes suivants :

  • Très restreint – Nécessite des mesures de sécurité importantes ainsi qu’un accès strictement contrôlé et limité.
  • Restreint – Nécessite des mesures de sécurité assorties d’un accès limité mais peu important et non strictement contrôlé.
  • Utilisation interne – Ne nécessite pas de protection supplémentaire.

Exemple de procédé de classification à quatre catégories : confidentiel, restreint, interne et public.

A.8.2.2 Étiquetage des données

Les actifs physiques et électroniques doivent être étiquetés en précisant leur catégorie. Les étiquettes doivent être faciles à gérer afin que les employés les utilisent correctement. Vous pouvez par exemple étiqueter des documents papier en les tamponnant « secret » ou « confidentiel ». Les données électroniques sont généralement étiquetées à l’aide de métadonnées.

A.8.2.3 Gestion des données

La gestion des données désigne la manière dont les données peuvent être utilisées et qui peut les utiliser. Vous pouvez par exemple décider que certaines données peuvent être lues mais non copiées par certains groupes d’utilisateurs.

Plusieurs contrôles permettent de faire appliquer les politiques de gestion des données. Vous pouvez exiger que vos actifs les plus sensibles soient chiffrés afin que seules les personnes disposant d’une autorisation particulière puissent les ouvrir. Les actifs physiques importants peuvent être conservés dans une armoire ou un coffre-fort fermé à clé. Les procédures relatives aux supports amovibles doivent être conformes à A.8.2.3.

En quoi Netwrix peut vous être utile ?

La plateforme Netwrix Data Security vous permet d’atteindre, maintenir et démontrer la conformité ISO en vous apportant les renseignements de sécurité dont vous avez besoin pour :

De surcroît, la plateforme prend en charge les systèmes de données locaux et dans le Cloud, ainsi que les données structurées et non structurées.

Evaluez les risques pesant sur vos systèmes et vos données