Comment développer un plan de classification de la sensibilité des données

Comment développer un plan de classification de la sensibilité des données

Partager

Partager sur linkedin
Partager sur facebook
Partager sur twitter

La classification des données est un élément essentiel de la cybersécurité et de la conformité des entreprises. Connaître la différence entre un document hautement sensible qui contient des informations financières sur les clients et un document moins sensible qui répertorie simplement les offres de produits peut faire une grande différence dans la façon dont une entreprise applique la sécurité et l'organisation des données.

Bien que l'amélioration de l'atténuation des risques liés aux données soit l'une des raisons les plus importantes de la classification, d'autres avantages incluent une gouvernance et une conformité améliorées, une efficacité opérationnelle accrue et de meilleures capacités d'analyse.

Pourtant, malgré ces avantages, plus de la moitié de toutes les données au sein d'une organisation typique ne sont ni classées ni étiquetées, selon recherche récente.

La résolution de ce problème commence par l'élaboration d'un plan de classification des données, un document qui comprend un cadre de classification des données, une liste des responsabilités pour l'identification des données et des descriptions des différents niveaux de classification.

Le processus n'est pas complexe, composé de trois étapes de base. Mais cela nécessite de comprendre toutes les données au sein d'une entreprise et comment elles sont créées, ainsi que de travailler avec la haute direction et les principales parties prenantes dans toute l'entreprise. Pour la partie découverte des données, des solutions telles que Qohash Qostodienne Prime peut aider.

Étape 1 : Définir les objectifs de classification

La première étape consiste à établir les raisons de la classification des données d'une entreprise. La classification sera-t-elle utilisée uniquement pour atténuer les risques ou englobera-t-elle d'autres cas d'utilisation tels que la conformité et l'amélioration de l'efficacité opérationnelle ?

De ces objectifs découleront des considérations supplémentaires telles que la définition des réglementations spécifiques qui s'appliquent à l'entreprise et les besoins de classification pour l'analyse ou l'efficacité opérationnelle.

En termes d'atténuation des risques, la plupart des équipes de sécurité partagent des objectifs communs en matière de sécurité. Le National Institute of Standards and Technology (NIST) des États-Unis a défini un cadre c'est un bon point de départ pour établir des objectifs de sécurité pour la classification.

Les trois principaux objectifs de sécurité les plus courants selon le NIST comprennent :

1. Confidentialité. Préserver les restrictions autorisées sur l'accès et la divulgation des informations, ce qui inclut la protection de la vie privée et des informations exclusives.

2. Intégrité. Se prémunir contre la modification ou la destruction inappropriée des informations, ce qui inclut la garantie de l'autorité et de l'authenticité des informations.

3. Disponibilité. Garantir un accès et une utilisation rapides et fiables des informations.

La source: Publication 199 des normes fédérales de traitement de l'information (FIPS),
Institut national des normes et de la technologie (NIST).

Étape 2 : catégoriser les types de données

Une fois les objectifs définis, la deuxième étape consiste à déterminer quels types de données existent et seront créés au sein de l'entreprise, ainsi que l'endroit où se trouvent généralement les données pour chaque type.

Chaque type de données doit être défini et catégorisé afin que la classification puisse être appliquée à l'étape suivante.

Un type de données courant est l'information personnellement identifiable (PII). Une entreprise peut définir la catégorie de type de données PII comme suit, par exemple :

Dans le but de répondre aux exigences de notification de violation de sécurité, les informations personnelles sont définies comme le prénom ou l'initiale et le nom d'une personne en combinaison avec un ou plusieurs des éléments de données suivants :

• Numéro de sécurité sociale
• Numéro de permis de conduire délivré par l'État
• Numéro de carte d'identité délivré par l'État
• Numéro de compte financier associé à un code de sécurité, un code d'accès ou un mot de passe qui permettrait d'accéder au compte

Dans le cadre de ce processus, les entreprises doivent également définir quelles données sont publiques, lesquelles sont exclusives et quelles données sont réglementées, ainsi que l'endroit où elles se trouvent généralement. Les données vivent-elles dans une base de données sur un serveur d'entreprise, dans une feuille de calcul sur un service de cloud public tel que Dropbox, dans un e-mail, etc. ?

Étape 3 : Définir les niveaux de classification

Les objectifs et les types de données étant désormais définis, la dernière étape de la création d'un plan de classification des données consiste à spécifier le schéma de classification que l'entreprise utilisera et les catégories de types de données qui seront mappées à chaque classification.

Pour la classification de la sensibilité des données, les organisations peuvent définir les niveaux de sensibilité de plusieurs manières. Le gouvernement américain a sept niveaux de classification, par exemple, y compris les données restreintes, les informations très secrètes et les informations non classifiées contrôlées, entre autres.

Chaque organisation voudra développer un schéma de classification qui réponde le mieux à ses besoins, mais généralement la plupart des schémas de classification des données d'entreprise incluent un minimum de quatre catégories de sensibilité de haut niveau :

1. Restreint. Le plus haut niveau de données sensibles. Cela inclut les données qui, si elles sont compromises, pourraient exposer une entreprise à des dommages financiers, juridiques, réglementaires ou à sa réputation.

2. Confidentiel. Les données exposées infligeraient un risque modéré à l'organisation ou à l'un de ses employés. Un accès non intentionnel entraînerait des conséquences plus importantes qu'un embarras à court terme et pourrait éventuellement avoir un impact négatif sur les opérations de l'entreprise ou sa réputation à long terme.

3. Interne. Des données qui ne sont pas destinées au public, mais qui ont un impact relativement faible si elles sont exposées. L'entreprise ne voudrait pas que ces données soient divulguées, et cela pourrait causer de l'embarras à court terme ou des dommages à la réputation. Mais l'accès à ces données n'aurait pas de répercussions réglementaires ou durables significatives.

4. Publique. Des données que tout le monde peut voir et qui ne sont pas de nature personnelle. L'exposition de ces données entraînerait peu ou pas de risque et ne nécessite pas de cryptage ni de protection importante.

Bien que ces quatre classifications de base soient utilisées depuis des décennies, les réglementations en matière de confidentialité et les systèmes de gestion des données plus avancés ont conduit de nombreuses organisations à adopter trois sous-couches supplémentaires. Ceux-ci inclus:

• Couche Informatique (consentement). De nombreuses réglementations sur la confidentialité des données exigent désormais le consentement d'un individu sur la manière dont ses données privées peuvent être utilisées par une organisation.

• Couche d'objet (accès). Certaines réglementations en matière de confidentialité, notamment le RGPD européen, exigent que les organisations spécifient la finalité pour laquelle des données spécifiques ont été collectées.

• Couche de confidentialité (conformité). Certaines réglementations en matière de confidentialité, notamment le CCPA de Californie, imposent des exigences supplémentaires aux organisations qui conservent les données d'un individu. Pour assurer la conformité, les organisations ajoutent donc souvent un ensemble spécifique et avancé de classifications de données autour de la confidentialité.

Une fois qu'un plan de classification des données est en place, l'étape suivante consiste à le mettre en œuvre grâce à la découverte des données et à la classification automatisée. Pour en savoir plus sur cette partie du processus, consultez notre article de blog, 5 étapes pour mettre en œuvre la classification de la sensibilité des données.

Langue

Contactez-nous