Ce n’est pas sans raison que 68 % des chefs d’entreprise estiment que les risques de cybersécurité pour leur société sont en augmentation, selon une étude récente d’Accenture. Ils sont en augmentation.
Qu’il s’agisse d’hameçonnage ou d’exposition accidentelle de données à la suite d’une erreur humaine, les violations de données sont de plus en plus fréquentes dans les organisations de tous types. Rien qu’au cours du premier semestre 2020, plus de 36 milliards de dossiers d’entreprises ont été exposés par erreur, selon RiskBased Security.
Une partie du problème est que la plupart des entreprises ont encore du mal à identifier toute l’étendue des données générées par leur organisation, et ne parviennent pas à les classer en fonction de leur niveau de sensibilité. Plus de la moitié des données d’une entreprise type ne sont pas classées ou étiquetées. Sans comprendre la sensibilité des données, il est difficile de les sécuriser correctement.
La classification de la sensibilité est la base d’une bonne sécurité des données, et la bonne nouvelle est que la mise en place d’un système de classification solide n’est pas aussi difficile qu’il y a dix ans.
Cinq étapes fondamentales permettent de mettre en œuvre un système complet de classification de la sensibilité des données.
Étape 1 : Élaborer un plan de classification des données
La première étape consiste à élaborer un plan de classification des données qui réponde aux besoins de l’organisation.
La classification des données est essentielle pour l’atténuation des risques, mais, selon une étude du Gartner, elle est souvent utilisée dans d’autres cas, notamment pour la gouvernance/conformité, l’efficacité et l’optimisation, et le soutien analytique. La définition des objectifs de classification doit donc être le point de départ de votre plan, y compris les systèmes concernés par le processus de classification initial et tout cadre réglementaire relatif aux données que l’entreprise doit respecter.
Une fois ces considérations fondamentales définies, les organisations doivent classer les données en fonction de leur type, comme les informations personnelles identifiables ou la propriété intellectuelle, et définir des niveaux de classification des données.
Pour en savoir plus sur cette étape, lisez notre article intitulé « Comment élaborer un plan de classification de la sensibilité des données« .
Étape 2 : Définir le processus de classification automatisé
Chaque donnée d’entreprise peut être classée de trois façons. Les données peuvent être classées manuellement par les employés, elles peuvent être classées automatiquement par les systèmes de découverte des données et de sécurité, ou les organisations peuvent adopter une approche hybride qui combine à la fois la classification automatique et manuelle.
Comme l’indique l’intitulé de cette étape, la plupart des organisations voudront au moins automatiser dans une certaine mesure la classification des données, car une classification manuelle complète est fonctionnellement impossible. De plus, il ne sert à rien de faire de la classification un processus manuel.
La plupart des entreprises qui réussissent à classer les données en fonction de leur sensibilité adoptent une approche hybride qui combine une découverte et une classification des données entièrement automatisées avec un audit manuel permanent de la classification des données effectuée par le système.
Il existe plusieurs solutions robustes de découverte et de classification des données sur le marché, notamment la plateforme Qostodian de Qohash, basée sur le cloud, qui peut découvrir des données d’entreprise sensibles, même sur des serveurs de cloud public et sur des appareils informatiques personnels au domicile d’un employé.
Dans le cadre de cette étape, les entreprises définiront également quelles données doivent être analysées en premier, la fréquence des analyses et les ressources utilisées pour maintenir la classification des données.
Étape 3 : Spécifier les critères de classification et la révision
Une fois la solution de classification des données en place, la troisième étape consiste à définir les critères de classification et le processus de vérification des classifications correctes.
En ce qui concerne les critères de classification, une entreprise voudra définir les modèles et les étiquettes de classification dans la solution automatisée qui seront nécessaires pour une classification correcte. Cela sera facile ou difficile selon la connaissance qu’a l’entreprise de l’empreinte complète de ses données, du schéma développé pendant la phase de planification de la classification et de la solution de classification automatisée des données qui a été choisie.
Les entreprises doivent également préciser le processus de révision de la classification automatisée des données dans le cadre de cette étape, ainsi que le processus de validation de son exactitude continue.
Selon l’Association for Information and Image Management (AIIM), l’exactitude de la classification se décompose généralement en deux mesures :
- Quel pourcentage des classifications de données de la solution automatisée est identique à celui qu’un humain attribuerait ? Une précision parfaite signifie que toutes les données sont classées de la même manière que ce qui serait obtenu par une classification manuelle.
- La précision parfaite signifie que toutes les données sont classées de la même manière que ce qui serait obtenu par une classification manuelle. Un rappel parfait signifie que toutes les données d’entreprise destinées à être incluses sont classées correctement par la solution.
Étape 4 : Établir les résultats globaux et l’utilisation des données classifiées
La classification des données n’est pas une fin en soi. L’étape suivante consiste donc à définir et à mettre en place les processus d’analyse et de sécurité qui résulteront de la classification des données. C’est là que l’utilisation de la classification et les résultats globaux sont définis et mis en œuvre. Du point de vue de la sécurité des données, c’est également le moment où toutes les étapes précédentes sont récompensées.
Dans la mesure du possible, les résultats basés sur la classification des données doivent être automatisés afin qu’ils puissent avoir lieu en temps réel avec un minimum de latence entre la création des données et les cas d’utilisation basés sur la classification. Ceci est particulièrement important pour les processus de sécurité construits autour de la classification des données sensibles, car les données telles que la propriété intellectuelle et les informations d’identification personnelle nécessitent une action de sécurité immédiate.
Dans le cadre de ce processus, testez et examinez les résultats avant le déploiement des systèmes pour vérifier qu’ils sont conformes à tous les objectifs spécifiés dans le plan de classification des données de l’organisation.
Étape 5 : Contrôler et maintenir la classification
La dernière étape est l’une des plus importantes.
La classification des données ne se fait pas en une fois, il faut donc établir un processus de découverte et de classification des ressources de données de l’entreprise sur une base continue. Il faut donc établir un processus de découverte et de classification des ressources de données de l’entreprise sur une base continue. Cela inclut la spécification de la fréquence de la découverte et de la classification si elles ne sont pas effectuées automatiquement en temps réel.
Parallèlement à la mise en place d’un processus de classification des données en continu, les entreprises doivent également définir un processus de révision périodique des catégories de classification des données et du processus de classification dans son ensemble.
Si la conformité réglementaire est l’un des objectifs de l’effort de classification, il convient de spécifier un processus de suivi permanent des changements réglementaires pour assurer la pertinence de la classification des données.
S’assurer que toutes les données sensibles de l’entreprise sont correctement sécurisées n’est pas un processus instantané. Mais en même temps, c’est plus facile que beaucoup d’entreprises ne le pensent. Il suffit de connaître le cadre de l’entreprise, d’avoir un peu de planification structurée et de mettre en place la bonne technologie d’automatisation des données.
Une grande partie de ce processus, de la découverte des données à la classification automatique en temps réel des données sensibles, peut être prise en charge par la solution Qostodian de Qohash. Contactez-nous pour une démonstration de Qostodian ou des conseils sur la façon de simplifier les opérations de sécurité des données de votre entreprise.
