Classification des données sensibles 101
Partager

Table of Contents

Chaque jour, votre organisation crée des milliers, voire des millions, de fichiers et d’enregistrements contenant des données d’entreprise. Certaines de ces données pourraient s’échapper et personne ne s’en soucierait particulièrement. Mais certaines de ces données créées chaque jour pourraient entraîner des amendes réglementaires, la divulgation de secrets d’entreprise, voire un scandale de relations publiques qui pourrait nuire à l’entreprise ou la détruire si elles tombaient entre de mauvaises mains.

Savoir quels fichiers protéger et avec quel soin est un élément essentiel de la sécurité des données. C’est là que la classification des données entre en jeu.

La classification des données est le processus d’organisation et de catégorisation des données structurées et non structurées afin qu’elles puissent être gérées et protégées plus efficacement. Les organigrammes de l’entreprise peuvent bénéficier d’une protection limitée, par exemple, tandis que les documents relatifs à la propriété intellectuelle sont davantage protégés et que les numéros de sécurité sociale des clients sont encore plus confidentiels.

Pourquoi la classification des données est-elle nécessaire ?

La sécurité est bien sûr l’une des raisons de la classification des données. Mais le cabinet d’études Gartner décrit quatre cas d’utilisation fondamentaux de la classification des données :

  • L’atténuation des risques. Il s’agit de limiter l’accès aux informations personnelles identifiables, de contrôler la localisation et l’accès à la propriété intellectuelle, de réduire la surface d’attaque des données sensibles et d’intégrer la classification dans les applications de sécurité et d’application des politiques.
  • Gouvernance/Conformité. Identifier les données régies par des réglementations telles que RGDP, HIPAA, CCPA, PCI, SOX et celles qui ne sont pas encore développées, appliquer des balises de métadonnées aux données protégées pour un suivi et des contrôles supplémentaires, permettre la mise en quarantaine, la mise en attente légale, l’archivage et d’autres actions requises par la réglementation, et faciliter le « droit à l’oubli » et les demandes d’accès des personnes concernées par les données (DSAR).
  • Efficacité et optimisation. Permettre un accès efficace au contenu en fonction du type, de l’utilisation, etc., découvrir et éliminer les données périmées ou redondantes, et déplacer les données fortement utilisées vers des dispositifs plus rapides ou une infrastructure basée sur le cloud.
  • Analyse. Permettre le balisage des métadonnées pour optimiser les activités commerciales et informer une organisation sur l’emplacement et l’utilisation des données.

Cependant, malgré ces raisons importantes de classer les données, plus de 52 % des données d’une entreprise type ne sont pas classées, selon une étude récente.

Schémas de classification typiques

Les organisations peuvent classer la sensibilité des données de plusieurs façons. Le gouvernement américain compte, par exemple, sept niveaux de classification, dont les données restreintes, les informations très secrètes et les informations non classifiées contrôlées, entre autres.

Chaque organisation voudra développer un schéma de classification qui répond le mieux à ses besoins, mais généralement, la plupart des schémas de classification des données d’entreprise comprennent un minimum de quatre catégories de sensibilité de haut niveau :

  • Restreint. Le niveau le plus élevé de données sensibles. Il s’agit des données qui, si elles sont compromises, peuvent faire courir à l’entreprise un risque de dommages financiers, juridiques, réglementaires ou de réputation.
  • Confidentiel. Données exposées qui feraient courir un risque modéré à l’entreprise ou à l’un de ses employés. Un accès non intentionnel entraînerait des conséquences plus importantes qu’un embarras à court terme, et pourrait éventuellement avoir un impact négatif sur les opérations de l’entreprise ou sa réputation à long terme.
  • Interne. Données qui ne sont pas destinées au public, mais qui ont un impact relativement faible si elles sont exposées. L’entreprise ne souhaite pas que ces données fassent l’objet d’une fuite, ce qui pourrait entraîner une gêne à court terme ou une atteinte à la réputation. Mais l’accès à ces données n’aurait pas de répercussions réglementaires ou durables importantes.
  • Publiques. Données que tout le monde peut voir et qui ne sont pas de nature personnelle. L’exposition de ces données n’entraînerait que peu ou pas de risques et ne nécessite pas de cryptage ou de protection importante.

Si ces quatre classifications de base sont utilisées depuis des décennies, les réglementations sur la protection de la vie privée et les systèmes de gestion des données plus avancés ont conduit de nombreuses organisations à adopter trois sous-couches supplémentaires. Celles-ci comprennent :

  • La couche de traitement des données (consentement). De nombreuses réglementations sur la confidentialité des données exigent désormais le consentement d’un individu sur la manière dont ses données privées peuvent être utilisées par l’organisation.
  • Couche de finalité (accès). Certaines réglementations en matière de protection de la vie privée, notamment le RGPD européen, exigent que les organisations précisent la finalité pour laquelle des données spécifiques ont été collectées.
  • Couche de confidentialité (conformité). Certaines réglementations, notamment la CCPA de Californie, imposent des exigences supplémentaires aux organisations qui conservent les données d’un individu. Pour assurer la conformité, les organisations ajoutent donc souvent un ensemble spécifique et avancé de classifications des données autour de la vie privée.

Comment mettre en œuvre la classification des données

Le processus de mise en œuvre de la classification des données dans une organisation varie en fonction des résultats escomptés, mais la mise en place de la plupart des programmes de classification nécessite sept étapes clés.

1. Définir les objectifs de la classification.

Que recherche l’entreprise, et pourquoi ? Quelles sont les réglementations qui s’appliquent à l’entreprise ? Quels systèmes sont concernés par le processus de classification initial ? La classification vise-t-elle à atteindre d’autres objectifs ou simplement à améliorer la sécurité des données ?

2. Catégoriser les types de données.

Quels types de données sont créés et existent au sein de l’entreprise ? Quelles données sont propriétaires et quelles données sont publiques ? Y aura-t-il des données réglementées ?

3. Définir les niveaux de classification.

Combien de niveaux de classification sont nécessaires ? Quels sont les exemples de données et de documents à chaque niveau ?

4. Établir un processus de classification automatisé.

Comment se déroulera l’automatisation de la classification ? Quel est le processus permettant de définir les données qui seront scannées en premier ? Quelle fréquence et quelles ressources seront utilisées pour automatiser la classification ?

5. Spécifier les critères de classification et la révision.

Quel processus de révision et de validation sera utilisé pour vérifier le processus de classification automatisée ? Quels modèles et étiquettes de classification au sein de la solution de classification automatisée seront utilisés pour obtenir les classifications de données correctes ?

6. Définir les résultats globaux et l’utilisation des données classifiées.

Quels processus analytiques seront utilisés sur les résultats de la classification ? Quels sont les résultats attendus de l’analyse analytique ? Quelles mesures d’atténuation des risques et quelles politiques automatisées seront mises en place pour les différentes classifications ?

7. Suivi et maintien de la classification.

Quel processus permanent de classification des données nouvelles et modifiées sera utilisé ? Comment le processus de classification sera-t-il révisé, et à quelle fréquence ? Comment l’entreprise surveillera-t-elle l’évolution des besoins commerciaux et des réglementations pour assurer la pertinence de la classification?

La classification des données peut être un projet intimidant pour de nombreuses entreprises. Mais ce n’est pas une fatalité. Des solutions telles que la plateforme de sécurité des données Qostodian de Qohash, basée sur le cloud, aident les entreprises à découvrir et à classer rapidement toutes les données de l’entreprise. Au-delà de la classification initiale des données, Qostodian découvre également les nouvelles données d’entreprise au fur et à mesure de leur création et peut leur appliquer automatiquement une classification.

Si votre entreprise fait partie des entreprises dont toutes les données ne sont pas actuellement classifiées, inscrivez-vous dès aujourd’hui à une démonstration de Qostodian.

A propos de l'auteur

A propos de l'auteur

Recommandé pour vous

Canada Fintech Forum Oct 27-29 2021 Virtual Meet
La confiance est la nouvelle devise. Si les organisations doivent alimenter leurs activités et stimuler l’innovation en la laissant...
Qohash Launches New Qostodian Recon™ Product to Help Organizations Discover and Secure Their Sensitive Data
La technologie de découverte de données de niveau entreprise de Qohash est désormais disponible pour les entreprises de taille moyenne qu...
Data classification and inventorying - The foundation of regulatory compliance
La confiance est la nouvelle devise. Si les organisations doivent alimenter leurs activités et stimuler l’innovation en la laissant...
Data classification and inventorying - The foundation of regulatory compliance
La confiance est la nouvelle devise. Si les organisations doivent alimenter leurs activités et stimuler l’innovation en la laissant...
The true cost of non-compliance - can you afford the risk
Un climat réglementaire plus strict La multiplication des données s’accompagne d’une intensification des règles relatives ...
5 best practices for rolling out your insider risk management program
La manière dont les entreprises exercent leurs activités évolue en permanence. Au cours des trois dernières années, les effectifs sont de...

Contactez-nous

Inventaire des données sensibles
Satisfaire aux audits PII et PCI
Assurer la conformité GDPR et NYDFS
Améliorer la gouvernance des données
Obtenir la certification SOC2
Surveillance des menaces internes
Verrouillage des terminaux
Détectez les abus de politique en temps réel
Accélérez les investigations
Quantifiez votre niveau de risque pour votre conseil d’administration
Défier les limites
Témoignages de nos clients