Comment classifier ses données en 9 étapes ?
Bien que les responsables de sécurité des systèmes d’information aient conscience de l’importance de disposer d’un système de classification des données, peu d’organisations ont jusqu’à présent mobilisé les ressources adéquates. Le sujet a pourtant regagné en popularité ces derniers mois, avec la mise en application du RGPD, poussant l’ensemble des entreprises à mieux maîtriser leurs données.
Lorsque l’on parle de classification de l’information, on se réfère, la plupart du temps, à un triptyque « DIC », en clair :
- Disponibilité
- Intégrité
- Confidentialité
Pour les transactions financières, on retrouvera également un critère de preuve (ou Traçabilité).
Le concept de confidentialité
De ces critères, le concept de confidentialité est celui qui est le plus sujet à débat. Ce qui rend ce concept si épineux, c’est la subjectivité de sa définition. En effet, il n’y a pas d’information confidentielle par nature : le degré de confidentialité de l’information dépend uniquement de celui qui la détient. De plus, ce qui est confidentiel aujourd’hui ne le sera peut-être pas demain.
Puisque ce concept est subjectif, il variera d’une organisation à l’autre. Vous serez finalement le meilleur juge pour savoir ce que « confidentiel » signifie pour vous.
Classifier vos données en 9 questions
1. Quel sera le champ d’application du projet de classification des informations ?
Le premier pas dans la mise en place d’une stratégie de classification des données est de définir une feuille de route et déterminer un périmètre d'action (quels types de données vont être classifiés, quelles entités vont être concernées et comment vous allez communiquer sur le projet). La mise en place de ces processus vous permettra de gagner un temps considérable dans l’identification des informations à classifier.
2. Qui est le propriétaire de l’information ?
Identifiez le propriétaire de l’information, il en est le responsable et sera donc le mieux placé pour pouvoir identifier d’autres informations sensibles sous sa responsabilité. À ce niveau, vous fier à lui restera le meilleur moyen d’avoir des résultats.
3. Quel est le cycle de vie de l’information ?
L’identification du cycle de vie de l’information que vous souhaitez classifier est essentielle puisqu’elle va vous permettre de définir son degré de sensibilité dans le temps et d’alléger les processus de protections qui l’entourent.
4. Quels seraient les impacts juridiques/opérationnels/financiers si l’information fuitait ?
Cette étape vous permet d’entrer dans la gestion de risques cyber et doit être la plus détaillée possible : c’est la première pierre à l’édifice de la classification de votre information.
" L’avantage de travailler avec des documents protégés avec Seald est que dans le cas d'une fuite de données (piratage d’email, fuite du cloud, employé qui perd une clé USB, …), les fichiers compromis ne pourront pas être ouverts par des personnes non autorisées. " Dan Lousqui - Expert en cybersécurité
5. Quels sont les risques pour mon organisation ?
En lien avec l’étape précédente, cette phase vous permet de définir un niveau de probabilité de l’impact. Rappelez-vous, le risque est l’association entre la probabilité qu’un événement survienne et son impact. En définissant la probabilité, vous pourrez décider si vous acceptez ce risque ou si vous souhaitez le réduire.
6. Quel niveau de confidentialité appliquer ?
En règle générale, on retrouve 3 degrés de confidentialité en entreprise (confidentiel, interne, public). En 2013, le Conseil européen a défini 4 standards - en français s’il vous plait - à destination des États membres. Pourquoi sommes-nous en train de vous parler des systèmes de classification des États dans un article sur la confidentialité en entreprise ? La raison est simple : les États ont passé plusieurs siècles à définir des niveaux de classification. Autant donc bénéficier de leur expertise sur le sujet :
TRÈS SECRET : informations et matériels dont la divulgation non autorisée pourrait causer une atteinte exceptionnellement grave aux intérêts essentiels de l'Union européenne ou d'un ou de plusieurs des États membres.
SECRET : informations et matériels dont la divulgation non autorisée pourrait sérieusement porter atteinte aux intérêts essentiels de l'Union européenne ou d'un ou plusieurs de ses États membres ;
CONFIDENTIEL : informations et matériels dont la divulgation non autorisée pourrait porter atteinte aux intérêts essentiels de l'Union européenne ou d'un ou de plusieurs des États membres ;
RESTREINT : informations et matériels dont la divulgation non autorisée pourrait être défavorable aux intérêts de l'Union européenne ou d'un ou de plusieurs des États membres.
En tant qu’entreprise, tous ces niveaux ne vous seront pas essentiels; aussi il pourra être pertinent d’intégrer des niveaux de confidentialité internes. Par exemple, les données financières n’ont pas besoin d’être accessibles aux équipes Sales. Quoi qu’il en soit, nous vous recommandons de ne pas dépasser 4 niveaux de confidentialité pour ne pas alourdir un processus astreignant à maintenir.
7. Quelles sont les mesures de sécurité à mettre en place ?
Classifier vos données n’est évidemment pas suffisant pour les protéger. À ce stade, vous devez être en mesure d’identifier quelles sont celles qui mériteront une protection particulière. Vous devez maintenant déterminer quelles mesures de sécurité appliquer. Les solutions sont aujourd’hui de plus en plus abouties et peuvent répondre à des besoins, d’authentification, de chiffrement et de traçabilité de vos informations.
8. Comment m’assurer que ces mesures de sécurité soient respectées en interne ?
Le non-respect des politiques de classification des données fait partie des lacunes de nombreuses organisations.
Plusieurs raisons en sont à l’origine dont un manque de sensibilisation des équipes et une mauvaise classification de l’information à l’origine.
Dans un article de 2018, le cabinet Wavestone expliquait qu’environ 1 % des informations d’une organisation avaient un degré de confidentialité d’importance vitale, or il n’est pas rare de voir plus de 10 % des informations élevées à ce rang ! Enfin, un grand nombre de politiques de classification ne sont pas efficaces, car les solutions existantes affectent trop négativement les processus internes. C’était encore récemment le cas des solutions de chiffrement.
9. Les mesures prises sont-elles toujours adaptées ?
En matière de cybersécurité, le panorama des menaces, comme des solutions de protection est en perpétuelle évolution, il est donc essentiel d’être dans une logique d’amélioration continue et de vérifier que les solutions utilisées pour protéger vos données ne sont pas obsolètes.
Enfin, sachez que la classification de vos informations s’inscrit pleinement dans un projet de mise en conformité au RGPD.
Better Seald than sorry.