Qu’est-ce que la classification des données ? [4 critères fréquemment utilisés]
Plus qu’un système d’organisation, la classification des données est un outil de protection et de gestion des données qui assure une meilleure hygiène numérique à votre entreprise.
Qu’est-ce que la classification des données ? La classification des données consiste à organiser les données en différentes catégories afin de faciliter leur gestion, leur protection et leur utilisation.
Qu’est-ce que la classification des données ?
La classification des données interdit l’accès aux données aux personnes non autorisées, afin de limiter le partage de ces données à des fins personnelles, commerciales ou gouvernementales. Ces données englobent généralement des secrets de fabrication, des secrets d’État ou des informations d’identification susceptibles de nuire aux salariés d’une organisation, à ses clients ou à ses administrés.
La classification, comme d’autres formes de confidentialité des données, repose sur la « triade CIA » de la protection des données, à savoir :
- Confidentialité : maintenir le caractère privé des informations en empêchant leur consultation non autorisée.
- Intégrité : maintenir l’intégrité des données en réalisant des contrôles pour garantir qu’elles ne sont ni altérées ni corrompues.
- Disponibilité : garder les données accessibles aux utilisateurs autorisés, sans que des contrôles ne gênent leur utilisation.
Conformément à ces trois piliers, la classification repose sur un ensemble spécifique de contrôles, de pratiques et de processus qui garantissent que seules les personnes autorisées puissent consulter les informations classifiées.
Ces contrôles sont associés aux critères suivants :
- Sécurité et conformité : toute organisation travaillant avec des données sensibles est soumise à des réglementations qui lui imposent des mesures de sécurité spécifiques. Les entreprises elles-mêmes s’imposent des règles pour la sécurité et le traitement des données classifiées.
- Gouvernance : pour assurer la confidentialité, l’intégrité et l’accessibilité des données, les organisations doivent mettre en place une politique de gouvernance des données. Celle-ci définit des règles claires de gestion des données, concernant les systèmes utilisés, les politiques, les procédures de protection des données et les systèmes utilisés au quotidien.
- Facilité d’utilisation : pour que les données restent accessibles, il faut que les personnes autorisées puissent les consulter et les utiliser dans le cadre de leur travail. Cela passe par des contrôles d’utilisabilité, qui garantissent un accès aux données sans les compromettre.
Ainsi, l’emploi du terme « classification des données » a deux significations : la nomenclature officielle de la classification gouvernementale d’une part, et l’organisation des données au sens large d’autre part, par des étiquettes pour en assurer la protection.
Les systèmes de classification des données
La question de la classification des données peut être traitée selon le contexte, les contrôles et les exigences appliquées.
En règle générale, on retrouve ces trois systèmes de classification :
- Basée sur les données : cette classification permet de déterminer le type d’informations à protéger. Les fichiers sont examinés pour définir s’ils contiennent des informations protégées spécifiques, telles que des informations personnelles identifiables (PII) ou des données bancaires associées à des particuliers ou à une organisation.
- Basée sur le contexte : cette classification tient compte de l’utilisation qui est faite des informations en question. Qui les a créées, où elles sont créées, ainsi que des méta-variables qui indiquent si un élément doit être classé comme sensible.
- Basé sur l’utilisateur : dans ce cas, ce sont les individus qui décident de la classification, document par document.
On retrouve ces différentes approches dans de nombreux environnements, et elles se recoupent même parfois au sein d’une même entreprise.
La classification publique
La classification publique est généralement la plus permissive. Elle peut contenir des informations sensibles, du moment qu’elles restent largement accessibles au public. Cette catégorie de données n’est donc pas soumise aux mêmes contrôles de sécurité que les autres.
Ces informations peuvent être :
- des organigrammes
- des noms et prénoms
- des communiqués de presse
- des livres blancs
- des guides architecturaux.
La classification interne
La classification interne est principalement utilisée pour les informations commerciales et les secrets de fabrication, qui pourraient nuire à la propriété intellectuelle ou à la compétitivité de l’entreprise en cas de divulgation.
Citons par exemple :
- des schémas relatifs à des produits
- des e-mails internes
- des plateformes Intranet
- des budgets et prévisions financières.
La classification officielle du gouvernement
La classification officielle du gouvernement est celle qui nous vient à l’esprit lorsque nous parlons « d’informations classifiées ». Avec la numérisation de la supply chain des agences fédérales (plateformes cloud, applications, etc.), la classification des services informatiques est primordiale.
Cette catégorie peut englober plusieurs différents types de protection des données, tels que :
- Le secret défense : le gouvernement classe les secrets d’État sensibles dans les catégories «confidentiel », « secret » ou « top secret », en fonction du niveau croissant de protection et de restrictions. Les documents top secret ne peuvent être consultés que par une poignée de personnes.
En marge de ces niveaux, vous verrez souvent des annotations de classification plus souples. Par exemple, un document étiqueté « Top Secret » pourra comporter des mesures plus spécifiques, pour permettre d’accéder à une partie de l’information en cas de besoin. Cette approche prévient l’exposition accidentelle des informations les plus sensibles.
L’accès à ces documents classifiés nécessite généralement une autorisation spéciale, et ils sont stockés sur des réseaux très privés tels que le Secret IP Router Network (SIPRNET).
- Informations sensibles non classées et contrôlées (CUI) : les informations non classifiées qui sont générées par des prestataires d’agences de Défense devraient rester confidentielles, pour la sécurité des deux parties. Les CUI sont une forme particulière des données classées top secret. Elles sont si importantes qu’un ensemble de normes leur sont consacrées (Cybersecurity Maturity Model Certification ou CMMC). Ces règles de conformité sont gérées par le National Institute of Standards and Technology (NIST) et le ministère de la Défense.
Les CUI peuvent être stockées sur des réseaux plus classiques, sous réserve que ces derniers répondent à des contrôles de sécurité stricts.
La classification confidentielle
Dans le secteur privé, la classification des données sert davantage à identifier les informations et à les protéger selon leur sensibilité, plutôt qu’à désigner des secrets importants. On parle par-là de protéger des secrets de fabrication, ou plus important encore, de protéger les données personnelles des clients et des patients. Cela nécessite de mettre en place une vraie stratégie de gestion des risques de cybersécurité.
Parmi les classes de données confidentielles, on retrouve :
- Les informations personnelles identifiables (PII) : les PII sont la base de la protection des données, quelle que soit la règlementation qui s’applique. Les PII comprennent les numéros de sécurité sociale, coordonnées, données bancaires ou tout autre élément pouvant être utilisé pour identifier une personne et rassembler des informations sensibles (comment la contacter, où elle vit, etc.).
La quasi-totalité des normes de conformité, publique et privée, prévoit la protection des PII à plus ou moins grande échelle.
- Les informations médicales protégées (PHI) : les PHI sont une forme d’informations bien spécifiques, décrite dans les règlements de l’HIPAA (Loi sur la portabilité et la responsabilité en matière d’assurance maladie) liée aux soins de santé. Sont considérées comme PHI toutes les données traitées par les hôpitaux, les médecins et les compagnies d’assurance, telles que les dossiers médicaux, les certificats médicaux ou toute autre information relative au paiement des soins de santé. On parlera également de PHI dans les services RH d’une organisation, ou de tout autre service qui traitent ces informations.
- Numéro international de compte bancaire (IBAN): l’IBAN désigne les données personnelles du titulaire du compte, à savoir son numéro de compte, les informations contenues sur la puce magnétique, ou le cryptogramme visuel (CVV).
Dans le contexte du secteur privé, les entreprises ont tout intérêt à classer les données et les systèmes de stockage en fonction du type d’information traitée et du secteur d’activité.
Quels sont les enjeux et les bonnes pratiques en matière de protection des données classifiées ?
À première vue, suivre les données et les différents systèmes de classification ne semble pas très compliqué. Pourtant, la technologie moderne n’est pas qu’un simple système fermé où vous pouvez simplement vous couper du monde extérieur. Il faut en connaître les bonnes pratiques de classification et de protection des données. Cela est vrai dès lors qu’une organisation utilise des applications en ligne et le Cloud, et que des informations doivent rester utilisables et accessibles à plusieurs personnes.
Parmi les difficultés rencontrées, on peut citer :
- La vulnérabilité : les données sensibles peuvent être exposées de multiples façons, ce qui peut engendrer une certaine confusion dans les systèmes complexes. De plus, le choix de votre système de classification aura un impact sur les règles de conformité règlementaire à satisfaire.
Avoir des politiques de gouvernance et l’inventaire des systèmes et flux de données sensibles à tout moment est crucial pour maintenir la sécurité des différentes formes de données classifiées.
- L’expertise : la gestion de la classification et de la sécurité est un métier à temps plein, qui nécessite des années d’apprentissage. De nombreuses grandes entreprises se sont dotées de responsables de la conformité et de la classification, et notamment celles qui manipulent régulièrement des données sensibles. Leur rôle est de s’assurer que la politique et l’infrastructure de l’entreprise répondent bien aux obligations de conformité.
Ne faites pas l’impasse sur cette expertise. Si vous manquez de temps ou de ressources en interne, faites appel à des prestataires externes spécialisés dans votre secteur d’activité.
- L’application : une politique n’est efficace que si elle est bien exécutée. Vous pourrez avoir la meilleure approche du monde en matière de gouvernance, elle n’aura aucun sens sans les ressources humaines et technologiques nécessaires pour la faire respecter.
Choisissez des outils qui assurent la conformité des opérations, la sécurité du stockage et des partages de données. De même, utilisez des outils dotés d’une automatisation et d’un journal d’audit suffisants pour être sûr de répondre aux exigences et de pouvoir remonter à la source des problèmes.
Protégez vos informations classifiées grâce à Kiteworks
La conformité et la sécurité sont les principes fondamentaux du traitement des données classifiées. Des outils technologiques existent, adaptés à l’échelle de votre entreprise, pour stocker, traiter et partager des données en toute sécurité, quelle que soit leur classification.
Le Réseau de contenu privé Kiteworks répond à de nombreux cadres réglementaires et garantit la confidentialité des données sans sacrifier la fluidité des échanges dans votre entreprise. Le réseau de contenu privé Kiteworks assure un chiffrement de bout en bout de vos applications professionnelles les plus courantes, comme la messagerie électronique, le
Avec Kiteworks, vous bénéficiez des fonctionnalités suivantes :
- Sécurité et conformité : Kiteworks utilise le chiffrement AES-256 pour les données stockées et TLS 1.2+ pour les données échangées. L’appliance virtuelle durcie de la plateforme, les contrôles granulaires, les authentifications et autres intégrations de solutions de sécurité ainsi que des rapports complets de connexions et d’audits permettent aux entreprises de se conformer rapidement aux normes de sécurité.
La plateforme Kiteworks propose une conformité prête à l’emploi aux règlementations et normes de votre secteur d’activité, telles que HIPAA, la norme de sécurité de l’industrie des cartes de paiement (PCI DSS), SOC 2 et le Règlement général sur la protection des données (RGPD).
De plus, Kiteworks propose des certifications et une conformité à de nombreuses normes, y compris FedRAMP, FIPS (normes officielles en matière de sécurité informatique) et FISMA (loi fédérale sur la gestion de la sécurité des informations).
Enfin, Kiteworks est évalué selon les contrôles de niveau PROTECTED du programme IRAP (Information Security Registered Assessors Program). En outre, sur la base d’une évaluation récente, Kiteworks atteint la conformité avec près de 89% des pratiques CMMC de niveau 2.
- Journaux d’audit : la plateforme Kiteworks génère des logs d’audit protégés et permet ainsi aux organisations de détecter plus tôt les attaques et de conserver la chaîne de preuves pour mise en œuvre d’une analyse forensique.
Le système fusionnant et homogénéisant les entrées de tous les éléments, les fichiers de logs unifiés et alertes Kiteworks font gagner un temps précieux aux équipes du centre opérationnel de sécurité (SOC), tout en aidant les équipes en charge de la conformité pour la préparation des audits.
- Intégration SIEM : Kiteworks prend en charge les solutions d’intégration à la gestion des événements et des informations de sécurité (SIEM), y compris IBM QRadar, ArcSight, FireEye Helix, LogRhythm, etc. Il dispose également d’un Forwarder Splunk et d’une application Splunk.
- Visibilité et gestion : le tableau de bord CISO Kiteworks offre aux organisations une vue d’ensemble de leurs informations : leur emplacement de stockage, qui y a accès et de quelle manière elles sont utilisées, et, en cas d’envoi, de partage ou de transfert de données, si ceux-ci sont conformes aux règlementations et aux normes. Le tableau de bord CISO éclaire les décisions des dirigeants, tout en leur fournissant une vision détaillée de la conformité.
- Environnement cloud à locataire unique : le transfert de fichiers, le stockage de fichiers ainsi que l’accès utilisateur s’effectuent sur une instance Kiteworks dédiée, déployée sur site, au sein d’une infrastructure de type IaaS, ou encore hébergée par une instance privée à locataire unique par Kiteworks dans le cloud via le serveur Kiteworks cloud. Cela signifie qu’il n’y a ni temps partagé, ni bases de données partagées ni référentiels ou ressources partagées, ni risque de violation ou d’attaque intercloud.
Jetez un coup d’œil au réseau de contenu privé Kiteworks et à la manière dont il permet la confidentialité et la conformité des données pour vos communications de contenu sensibles en programmant dès aujourd’hui une démonstration personnalisée.
Ressources complémentaires