Classification des données sensibles 101

Classification des données sensibles 101

Partager

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Chaque jour, votre organisation crée des milliers, voire des millions de fichiers et d'enregistrements contenant des données d'entreprise. Certaines de ces données pourraient s'échapper dans la nature et personne ne s'en soucierait particulièrement. Mais certaines de ces données créées chaque jour pourraient entraîner des amendes réglementaires, la divulgation de secrets d'entreprise ou même un scandale de relations publiques qui pourrait nuire ou détruire l'entreprise si elle tombait entre de mauvaises mains.


Savoir quels fichiers protéger et avec quel soin les protéger est un élément essentiel de la sécurité des données. C'est là qu'intervient la classification des données.

La classification des données est le processus d'organisation et de catégorisation des données structurées et non structurées afin qu'elles puissent être gérées et protégées plus efficacement. Les organigrammes d'entreprise peuvent bénéficier d'une protection limitée, par exemple, tandis que les documents de propriété intellectuelle bénéficient d'une plus grande sécurité et que les numéros de sécurité sociale des clients sont encore plus cloisonnés.

Pourquoi avez-vous besoin de la classification des données

La sécurité est bien sûr l'une des raisons de la classification des données. Mais le cabinet de recherche Gartner décrit quatre cas d'utilisation de base pour la classification des données :


Atténuation des risques. Cela comprend la limitation de l'accès aux informations personnellement identifiables, le contrôle de l'emplacement et de l'accès à la propriété intellectuelle, la réduction de la surface d'attaque pour les données sensibles et l'intégration de la classification dans les applications de sécurité et d'application des politiques.

Gouvernance/Conformité. Identifier les données régies par des réglementations telles que GDPR, HIPAA, CCPA, PCI, SOX et celles qui ne sont pas encore développées, appliquer des balises de métadonnées aux données protégées pour un suivi et des contrôles supplémentaires, permettre la mise en quarantaine, la conservation légale, l'archivage et d'autres actions requises par la réglementation, et faciliter « Droit à l'oubli » et les demandes d'accès des personnes concernées (DSAR).

Efficacité et optimisation. Permettre un accès efficace au contenu en fonction du type, de l'utilisation, etc., découvrir et éliminer les données obsolètes ou redondantes, et déplacer les données fortement utilisées vers des appareils plus rapides ou une infrastructure cloud

Analytique. Activer le balisage des métadonnées pour optimiser les activités commerciales et informer une organisation de l'emplacement et de l'utilisation des données.


Malgré ces raisons importantes pour la classification des données, cependant, plus de 52 pour cent des données au sein d'une organisation typique restent non classifiées, selon une étude récente.

Schémas de classification typiques

Les organisations peuvent classer la sensibilité des données de plusieurs manières. Le gouvernement américain a sept niveaux de classification, par exemple, y compris les données restreintes, les informations très secrètes et les informations non classifiées contrôlées, entre autres.

Chaque organisation voudra développer un schéma de classification qui répond le mieux à ses besoins, mais généralement la plupart des schémas de classification des données d'entreprise incluent un minimum de quatre catégories de sensibilité de haut niveau :


Limité. Le plus haut niveau de données sensibles. Cela inclut les données qui, si elles sont compromises, pourraient exposer une entreprise à des dommages financiers, juridiques, réglementaires ou à sa réputation.

Confidentiel. Données exposées qui infligeraient un risque modéré à l'organisation ou à l'un de ses employés. Un accès non intentionnel entraînerait des conséquences plus importantes qu'un embarras à court terme et pourrait éventuellement avoir un impact négatif sur les opérations de l'entreprise ou sa réputation à long terme.

Interne. Des données qui ne sont pas destinées au public, mais qui ont un impact relativement faible si elles sont exposées. L'entreprise ne voudrait pas que ces données soient divulguées, et cela pourrait causer de l'embarras à court terme ou des dommages à la réputation. Mais l'accès à ces données n'aurait pas de répercussions réglementaires ou durables significatives.

Publique. Des données que tout le monde peut voir et qui ne sont pas de nature personnelle. L'exposition de ces données entraînerait peu ou pas de risque et ne nécessite pas de cryptage ni de protection importante.


Bien que ces quatre classifications de base soient utilisées depuis des décennies, les réglementations en matière de confidentialité et les systèmes de gestion des données plus avancés ont conduit de nombreuses organisations à adopter trois sous-couches supplémentaires. Ceux-ci inclus:


Couche de traitement des données (consentement). De nombreuses réglementations sur la confidentialité des données exigent désormais le consentement d'un individu sur la manière dont ses données privées peuvent être utilisées par l'organisation.

Couche d'objet (accès). Certaines réglementations en matière de confidentialité, notamment le RGPD européen, exigent que les organisations spécifient la finalité pour laquelle des données spécifiques ont été collectées.

Couche de confidentialité (conformité). Certaines réglementations, notamment le CCPA de Californie, imposent des exigences supplémentaires aux organisations qui conservent les données d'un individu. Pour assurer la conformité, les organisations ajoutent donc souvent un ensemble spécifique et avancé de classifications de données autour de la confidentialité.

Comment mettre en œuvre la classification des données

Le processus de mise en œuvre de la classification des données dans une organisation varie en fonction des résultats escomptés, mais la configuration de la plupart des programmes de classification nécessite sept étapes clés.


1. Définir les objectifs de classification.
Que recherche l'entreprise et pourquoi ? Quelle réglementation s'applique à l'entreprise ? Quels systèmes sont concernés par le processus de classification initial ? La classification vise-t-elle à atteindre des objectifs supplémentaires ou simplement à améliorer la sécurité des données ?

2. Catégoriser les types de données.
Quels types de données sont créés et existent au sein de l'entreprise ? Quelles données sont propriétaires et lesquelles sont publiques ? Y aura-t-il des données réglementées ?

3. Définir les niveaux de classification.
Combien de niveaux de classification sont nécessaires ? Quels sont les exemples de données et de documents à chaque niveau ?

4. Établir un processus de classification automatisé.
Comment l'automatisation de la classification se déroulera-t-elle ? Quel est le processus pour définir quelles données seront analysées en premier ? Quelle fréquence et quelles ressources seront utilisées pour automatiser la classification ?

5. Spécifiez les critères de classification et l'examen.
Quel processus d'examen et de validation sera utilisé pour vérifier le processus de classification automatisé ? Quels modèles et étiquettes de classification au sein de la solution de classification automatisée seront utilisés pour obtenir les classifications de données correctes ?

6. Définir les résultats globaux et l'utilisation des données classifiées.
Quels processus d'analyse seront utilisés sur les résultats de la classification ? Quels sont les résultats attendus de l'analyse analytique ? Quelles étapes d'atténuation des risques et politiques automatisées seront mises en place pour les différentes classifications ?

7. Surveiller et maintenir la classification.
Quel processus continu de classification des données nouvelles et modifiées sera utilisé ? Comment le processus de classification sera-t-il revu et à quelle fréquence ? Comment l'entreprise surveillera-t-elle l'évolution des besoins et des réglementations de l'entreprise pour assurer la pertinence continue de la classification ?


La classification des données peut être un projet intimidant pour de nombreuses entreprises. Mais cela n'a pas à être. Des solutions telles que la plate-forme de sécurité des données Qostodian basée sur le cloud de Qohash aident les entreprises à découvrir et à classer rapidement tous les actifs de données d'entreprise. Au-delà de la classification initiale des données, Qostodian découvre également de nouvelles données d'entreprise au fur et à mesure de leur création et peut appliquer automatiquement une classification à ces données.


If your firm is among those businesses that don’t have all its data currently classified, sign up for a demo of Qostodian today.

Langue

Contactez-nous