Modèle de politique de classification des données

Selon Statista, la création de données mondiales devrait exploser au cours de la prochaine décennie, atteignant plus de 180 zettaoctets d'ici 2025 et plus de deux mille zettaoctets d'ici 2035.

Bien qu'un petit pourcentage seulement de ces nouvelles données soit conservé, les organisations font toujours face au défi de gérer plus de données que jamais auparavant et de les protéger contre les violations.

La classification des données peut aider votre organisation à relever ce défi, vous permettant de trier les informations selon le niveau de risque et de définir des politiques de sécurité des données appropriées.

Lisez la suite pour savoir comment déterminer les niveaux de classification des données, quelles méthodes vous pouvez utiliser pour classer les données, quelles étapes et meilleures pratiques vous devez suivre pour créer une politique de classification des données, et plus encore.

Qu'est-ce que la classification des données ?

La classification des données est le processus d'identification et de catégorisation des données en fonction de leur niveau de sensibilité pour simplifier la gestion, la sécurité et le stockage de ces données.

La classification des données intervient après le processus de découverte des données. Vous commencez donc par scanner votre environnement pour déterminer où se trouvent les données structurées et non structurées. Il est probable qu'elles soient réparties entre des bases de données, des services de stockage cloud et des fichiers comme les PDF et les e-mails, entre autres sources. Ensuite, dans ces sources de données découvertes, vous identifiez différents types de données et leur attribuez des étiquettes basées sur des caractéristiques telles que :

• Sensibilité : Exemples incluant la sensibilité élevée, moyenne et faible.
• Type d'actif de données : Exemples incluant les factures de fournisseurs, les factures clients et les dossiers des employés.
• Information sur la source : Exemples incluant sous licence, acquis ou créé en interne.
• Information géopolitique : Exemples incluant personne des États-Unis ou entités de l'UE.

Ces étiquettes font partie du schéma de classification des données d'une organisation. Voyons maintenant de plus près pourquoi la classification des données est importante.

Quel est le but de la classification des données ?

Les données que votre entreprise crée comprennent tout, depuis la propriété intellectuelle précieuse jusqu'aux invitations de calendrier entre collègues et peuvent poser un véritable défi du point de vue du risque et de la gouvernance des données. Votre entreprise a besoin d'un système pour organiser à la fois les données sensibles et de faible priorité – c'est là qu'intervient la classification des données.

La classification des données implique de trier les informations en fonction du niveau de sensibilité afin de pouvoir définir des politiques de sécurité des données appropriées pour atténuer le risque que celles-ci soient altérées, volées ou détruites.

Voyons de plus près les avantages de la classification des données afin que vous compreniez pourquoi votre organisation devrait commencer à classifier ses données.

Bénéfices de la classification des données

Une classification efficace des données est une partie clé de toute politique de sécurité de l'information et doit aider votre organisation à protéger les données de haute sensibilité, à rationaliser les recherches et la récupération des données, à supprimer les données dupliquées et à se conformer aux exigences de confidentialité et de sécurité des données.

Examinons de plus près chacun de ces bénéfices ci-dessous.

Gestion des risques

Les politiques de classification des données doivent vous aider à développer une stratégie de gestion des risques sensée. Une fois que vous identifiez la valeur de vos données, vous pouvez mettre en œuvre des mesures de sécurité pour minimiser le risque de modification, de vol ou de destruction de ces données.

La classification des données est donc une partie clé de la gestion des risques et des stratégies de prévention des pertes de données.

Sécurité et récupération des données

La classification des données peut également être utile pour créer des processus de sécurité et de récupération des données en vous aidant à :

• Organiser les données par importance
• Protéger les données de haute sensibilité
• Rationaliser les recherches et la récupération des données

Cela peut aider votre organisation à réduire l'accès des utilisateurs aux données sensibles, à installer les bonnes technologies de protection des données et à optimiser l'utilisation des ressources pour les données moins critiques.

Déduplication des données

La classification des données peut non seulement aider à rendre les données plus faciles à rechercher et à suivre — elle peut également aider à éliminer les données dupliquées. Cela peut aider vos employés à accélérer leur processus de recherche et également réduire les coûts de stockage et de sauvegarde pour votre organisation dans son ensemble.

Efficacité organisationnelle

Les politiques de classification des données peuvent également contribuer à améliorer l'efficacité de votre organisation. Par exemple, vous pouvez trouver et supprimer les données dupliquées pour réduire les coûts de stockage et de sauvegarde.

Conformité réglementaire

La classification des données peut également aider votre organisation à se conformer aux exigences de confidentialité des données et à d'autres règles et réglementations en mettant en place des contrôles de sécurité appropriés et en rendant les données recherchables et récupérables dans des délais spécifiés.

Maintenant que vous savez pourquoi la classification des données vaut l'effort, nous vous expliquerons comment cela se fait.

Classification de la sensibilité des données

La classification des données vous oblige à évaluer le niveau de sensibilité des données dans votre organisation. Ces niveaux vont généralement de élevé à moyen à faible et sont corrélés à la gravité des dommages si ces données étaient perdues, volées ou compromises.

Classifier les données de cette manière aide les organisations à comprendre où concentrer leurs efforts d'atténuation des risques. Plus les données sont sensibles, plus votre organisation doit se concentrer sur leur protection.

Données à faible sensibilité

Les données à faible sensibilité sont des données qui n'auraient que peu ou pas d'impact si elles étaient compromises, perdues ou détruites (bien qu'une organisation puisse encore mettre en place des contrôles de sécurité pour se protéger contre les dommages). Les données à faible sensibilité sont destinées à un usage public et ne nécessitent aucune protection de confidentialité. Elles sont généralement appelées données non restreintes ou publiques, selon leur modèle de classification.

Les exemples de données à faible sensibilité incluent :

• Informations publiques et pages web, telles que les offres d'emploi, les articles de blog, etc.
• Communiqués de presse
• Annuaire des employés

Données de sensibilité moyenne

Les données de sensibilité moyenne sont des données qui n'auraient pas un impact catastrophique si elles étaient compromises, perdues ou détruites, mais qui entraîneraient néanmoins un certain risque pour une organisation. Ces données ne devraient donc être accessibles qu'au personnel interne ayant obtenu l'accès et sont généralement étiquetées comme internes ou privées.

Exemples de données de sensibilité moyenne :

• E-mails ou documents internes ne contenant pas de données confidentielles
• Contrats de fournisseurs
• Informations sur la gestion des services informatiques ou des télécommunications

Données de haute sensibilité

Les données de haute sensibilité sont des données qui, si elles étaient compromises, perdues ou détruites, auraient un impact catastrophique sur une organisation. Les organisations doivent donc appliquer les contrôles d'accès les plus stricts aux données de haute sensibilité. Comme l'accès est limité sur une base de besoin de savoir, les données de haute sensibilité sont généralement étiquetées comme données confidentielles ou restreintes.

Exemples de données de haute sensibilité :

• Documents financiers, tels que les numéros de carte de crédit
• Données médicales et biométriques, y compris les informations de santé protégées (ISP)
• Dossiers des employés, y compris les informations personnelles identifiables (IPI) telles que les numéros de sécurité sociale
• Données d'authentification, telles que les identifiants de connexion

Modèles et schémas de classification des données

Un modèle et un schéma de classification des données définissent comment une organisation identifie et catégorise ses actifs de données. En général, ils définissent trois à cinq niveaux en fonction de la criticité et de la sensibilité des données afin d'aider à déterminer les contrôles de sécurité appropriés.

Les organisations doivent concevoir leurs propres modèles et schémas de classification des données en fonction de leur besoin de protéger les données propriétaires, commerciales et/ou utilisateurs avec différents niveaux de sensibilité et de répondre aux exigences de conformité et de réglementation. Cependant, elles peuvent commencer par ou baser les leurs sur différents modèles et schémas de classification développés par les gouvernements et les organisations commerciales.

Par exemple, le gouvernement américain utilise un schéma de classification à trois niveaux pour les données en fonction de l'impact potentiel sur la sécurité nationale en cas de divulgation :

• Confidentiel : La divulgation non autorisée de cette information causerait probablement des dommages à la sécurité nationale.
• Secret : La divulgation non autorisée de cette information causerait probablement des dommages graves à la sécurité nationale.
• Top secret : La divulgation non autorisée de cette information causerait probablement des dommages exceptionnellement graves à la sécurité nationale.

Le NIST a développé un schéma de catégorisation en trois niveaux basé sur l'impact potentiel non seulement sur la confidentialité mais aussi sur l'intégrité et la disponibilité des informations et des systèmes d'information applicables à la mission de l'organisation :

• Faible : La divulgation non autorisée de cette information aurait un effet adverse limité sur les opérations de l'organisation, les actifs de l'organisation ou les individus.
• Modéré : La divulgation non autorisée de cette information aurait un effet adverse sérieux sur les opérations de l'organisation, les actifs de l'organisation ou les individus.
• Élevé : La divulgation non autorisée de cette information aurait un effet adverse sévère ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou les individus.

Les organisations peuvent utiliser des étiquettes secondaires au sein de ces niveaux pour spécifier différents actifs de données et procédures de manipulation ou exigences de conformité et de réglementation. Par exemple, une organisation qui ne collecte que des documents financiers peut classer cela comme des « données confidentielles », mais une organisation qui collecte des dossiers médicaux peut classer cela plus spécifiquement comme des « informations de santé protégées » afin d'indiquer que les exigences HIPAA s'appliquent à ces données.

Exemples de classification des données

Bien que le schéma de classification des données du NIST soit largement reconnu comme un schéma de classification adéquat dans les certifications sectorielles, nationales et internationales, les organisations doivent élaborer leurs propres schémas de classification en fonction de leurs besoins uniques en matière d'organisation et de gestion des risques.

Pour s'inspirer, nous examinerons quelques exemples d'organisations et le modèle et le schéma de classification qu'elles ont mis en œuvre.

UW-Madison

UW-Madison classe les données en quatre catégories, qui sont utilisées pour déterminer comment fournir l'accès aux données aux individus. Les catégories sont :

• Public : La divulgation, l'altération ou la destruction non autorisées de ces données entraîneraient peu ou pas de risque pour l'université et ses affiliés. Toute donnée affichée sur des sites Web ou publiée sans restrictions d'accès doit être classée comme publique.
• Interne : La divulgation, l'altération ou la destruction non autorisées de ces données pourraient entraîner un certain risque pour l'université et ses affiliés. Par défaut, toute donnée qui n'est pas explicitement classée dans les trois autres catégories doit être classée comme interne.
• Sensible : La divulgation, la perte ou la destruction non autorisées de ces données pourraient entraîner un risque modéré pour l'université, les affiliés ou les projets de recherche.
• Restreint : La divulgation, la perte ou la destruction non autorisées de ces données pourraient entraîner un risque significatif pour l'université, les affiliés ou les projets de recherche. Si la protection des données est requise par la loi ou la réglementation ou si UW-Madison est tenue de s'auto-déclarer au gouvernement et/ou d'informer l'individu si les données sont consultées de manière inappropriée, elles doivent être classées comme restreintes.

Harvard

Harvard classe les données en cinq niveaux :

• N1 : Le N1 se réfère aux informations publiques. L'université fournit intentionnellement ces informations au public. Les recherches publiées, les catalogues de cours, les résultats réglementaires et juridiques, les rapports annuels publiés, les brevets délivrés et les politiques universitaires générales en sont tous des exemples.
• N2 : Le N2 se réfère aux informations confidentielles à faible risque. L'université choisit de garder cette information privée au sein de la communauté de Harvard, mais sa divulgation au-delà de la communauté ne causerait pas de tort matériel. Les politiques et procédures des départements, les matériels de formation de Harvard, les brouillons de papiers de recherche, ainsi que les demandes de brevets et de subventions en sont tous des exemples.
• N3 : Le N3 se réfère aux informations confidentielles à risque moyen. L'université a l'intention de partager ces informations uniquement avec ceux qui ont un « besoin professionnel de savoir » et la divulgation au-delà des destinataires prévus pourrait causer des dommages matériels aux individus ou à l'université. Les informations étudiantes non répertoires, les informations non publiées sur les enseignants et le personnel, les informations sur les transactions budgétaires/financières, et les informations spécifiées comme confidentielles par les contrats de fournisseurs et les NDA en sont tous des exemples.
• N4 : Le N4 se réfère aux informations confidentielles à haut risque. L'université a des contrôles stricts pour ces informations et leur divulgation au-delà des destinataires spécifiés causerait probablement des dommages sérieux aux individus ou à l'université. Les mots de passe et les codes PIN, les identifiants système et les clés de chiffrement privées en sont tous des exemples.
• N5 : Le N5 est réservé uniquement aux données de recherche, telles que déterminées par l'IRB ou un accord d'utilisation des données. Les données qui, si divulguées, pourraient mettre le sujet à un risque sévère de préjudice ou les données avec des exigences contractuelles pour des mesures de sécurité exceptionnelles doivent être classées comme N5.

AWS

AWS recommande de commencer par une approche de classification des données en trois niveaux. Tant les organisations publiques que commerciales qui ont adopté le cloud AWS ont été en mesure de répondre suffisamment à leurs besoins et exigences en matière de classification des données en utilisant l'approche ci-dessous.

Méthodes de classification des données

Il existe trois principales manières pour votre organisation d'effectuer la classification des données. De nombreuses organisations utilisent une combinaison des trois.

Jetons un coup d'œil rapide à la manière dont chaque méthode fonctionne en pratique.

Classification basée sur l'utilisateur

Sous une classification basée sur l'utilisateur, vous décidez manuellement comment classer les fichiers. Vous pouvez marquer les documents sensibles lorsqu'ils sont créés, après une modification ou avant la diffusion d'un document.

Classification basée sur le contenu

La classification basée sur le contenu consiste à examiner les fichiers et les documents à la recherche d'informations sensibles avant de les classer. Une catégorie de risque est attribuée en fonction de ce qu'il y a à l'intérieur de chaque fichier ou document.

Classification basée sur le contexte

La classification basée sur le contexte utilise des métadonnées au lieu du contenu pour trouver des indicateurs d'informations sensibles.

Exemples de métadonnées :

• L'application qui a créé le fichier (logiciels comptables, financiers ou de santé)
• L'utilisateur qui a créé le document (par exemple, un membre du département comptable)
• Le lieu où un fichier a été créé (par exemple, le bâtiment du département comptable)

La classification basée sur le contenu et le contexte sont des types de classification automatisée. Bien que la classification automatisée tende à être plus efficiente que celle basée sur l'utilisateur, vous devriez tout de même vérifier manuellement les résultats. C'est pourquoi les organisations emploient généralement deux ou trois de ces méthodes.

Une fois que vous avez déterminé quel système de classification convient à votre organisation, vous pouvez lancer votre processus de classification des données.

Processus de classification des données

Votre organisation doit suivre certaines étapes clés lors du processus de classification des données.

1. Effectuer une évaluation des risques

Pour commencer, vous devez penser stratégiquement à vos données. Où êtes-vous vulnérables ? Comment pouvez-vous optimiser votre protection ?

Voici quelques questions qui peuvent vous aider à comprendre vos données et quelles exigences de confidentialité et de confidentialité d'entreprise, réglementaires et contractuelles s'appliquent à votre organisation :

• Qui crée ou possède les informations ?
• Qui est responsable de l'intégrité et de l'exactitude des données ?
• Où les informations sont-elles stockées ?
• Quelles données sensibles avons-nous ?
• Qui a la permission d'accéder, de modifier, d'archiver ou de supprimer les informations ?
• Comment notre entreprise sera-t-elle affectée si les données sont volées, détruites ou altérées ?
• Les informations sont-elles soumises à des réglementations ou à des normes de conformité/de l'industrie ? Si oui, quelles sont les sanctions en cas de non-conformité ?

Après avoir suivi ces pratiques, vous devriez mieux comprendre les données de votre entreprise. Cela vous aidera à développer la meilleure stratégie pour leur gestion et leur protection.

2. Définir vos objectifs et ce que vous souhaitez obtenir de la catégorisation des données.

Ensuite, définissez clairement vos objectifs principaux pour la catégorisation des données. Souhaitez-vous informer les processus de conformité réglementaire, augmenter la productivité des employés ou réduire les coûts de gestion et de stockage des données ? Tout cela à la fois ? Cette étape doit impliquer des parties prenantes de la sécurité, de la conformité et du juridique.

3. Déterminer les catégories et les critères que vous utiliserez pour classer les données.

Une fois que vous comprenez pourquoi vous classez vos données, vous pouvez mieux déterminer comment le faire. Il existe plusieurs façons d'organiser les données : en utilisant des métadonnées, des tags, des types de fichiers, des unités de caractères et la taille des paquets de données, pour ne citer que quelques exemples.

Vous devriez également établir des niveaux de classification à ce stade.

4. Formaliser une politique de classification des données.

Une politique de classification des données doit clairement définir les objectifs de votre organisation en mettant en place un processus de classification des données, la taxonomie qui sera utilisée pour classer les données, ainsi que les rôles et responsabilités des propriétaires des données, y compris comment ils classifient les données et y accordent l'accès.

Une politique de classification des données doit clairement définir le schéma de classification des données de votre organisation et la description formelle de tous les types de données au sein de l'organisation. Le but est de permettre à toutes les parties concernées, y compris les parties externes qui partagent ou reçoivent des données, de comprendre et d'identifier les différents types de données.

5. Définir les rôles et responsabilités des employés dans le respect des protocoles de classification des données.

Les employés doivent clairement comprendre qu'ils sont responsables et redevables de leur utilisation des données sensibles et de faible priorité. Les étapes de réduction des risques et les politiques automatisées doivent être documentées. Cela permettra aux employés de savoir qu'ils doivent déplacer ou archiver les PHI si elles ne sont pas utilisées pendant 180 jours, par exemple, ou comment détecter et signaler les échecs de contrôle ou les violations.

6. Développez des normes de sécurité qui s'alignent sur les catégories de données, les balises et les réglementations en matière de conformité.

Une fois que les données ont été classées par catégorie, balise et/ou réglementations en matière de conformité, vous pouvez déterminer les contrôles de sécurité appropriés pour les protéger. Par exemple, les informations médicales, les cartes de crédit et les informations personnellement identifiables (PII) doivent être traitées de manière appropriée selon différentes réglementations et peuvent donc nécessiter des normes de sécurité uniques.

7. Réévaluez périodiquement vos critères et processus de classification.

La classification des données n'est pas un processus unique. Vous devez réviser périodiquement vos critères de classification et votre processus dans son ensemble pour suivre l'évolution des réglementations et des objectifs commerciaux. Cela peut être fait sur une base annuelle ou à la fréquence possible en fonction des ressources disponibles.

Exemples de politiques de classification des données

Pour aider au développement de la politique de classification des données de votre organisation, consultez ci-dessous des exemples de politiques de classification des données mises en œuvre dans les universités.

1. Politique de classification et de gestion des données de l'Université du Kansas

Cette politique explique comment les données de l'Université du Kansas sont classées et gérées pour garantir leur confidentialité. Elle en décrit l'objectif, les personnes concernées et définit trois niveaux de classification des données en fonction de leur sensibilité (confidentielle, sensible et publique).

2. Politique de classification des données de l'Université de Boston

La politique de classification des données de l'Université de Boston fournit un vocabulaire commun que les individus peuvent utiliser pour décrire les données de l'Université et quantifier le niveau de protection requis. Cette politique définit quatre catégories dans lesquelles toutes les données de l'Université peuvent être divisées :

• Public
• Interne
• Confidentiel
• Usage Restreint

3. Politique de classification et de protection des données de l'Université Fordham

La politique de classification et de protection des données de l'Université Fordham établit un cadre pour classer les données institutionnelles en fonction de leur niveau de sensibilité, de valeur et d'importance pour l'Université. Elle définit trois catégories : Données protégées de Fordham, Données sensibles de Fordham ou Données publiques.

Toujours pas sûr de ce qu'il faut inclure dans votre politique de classification des données ? Utilisez notre modèle comme base pour créer rapidement la vôtre.

Meilleures pratiques pour la classification des données

Utilisez ces meilleures pratiques pour établir une politique de classification des données efficace :

• Comprendre vos données : Vous devez savoir quel type de données vous avez. Analysez vos données et toutes les réglementations que votre organisation doit respecter. Nous examinerons plus en détail ces réglementations dans la section suivante.
• Créer un modèle de classification des données : Ensuite, vous devez créer un modèle de classification des données. Commencez par quelques niveaux de classification de base. Vous pouvez ajouter des niveaux plus complexes selon les besoins.
• Organisez vos données : Décidez comment taguer vos données en fonction de leur niveau de sensibilité et de l’impact potentiel. À mesure que la sensibilité augmente de faible à élevée, le niveau de classification devrait également augmenter. Ajoutez plus de restrictions à chaque niveau.
• Validez vos résultats : Tous les résultats, qu'ils soient classifiés manuellement ou automatiquement, doivent être examinés et validés pour en vérifier l'exactitude. Créez un processus qui identifie clairement qui est impliqué et quelles étapes sont nécessaires pour examiner et valider ces résultats.
• Déterminez comment vos résultats peuvent bénéficier à votre organisation : Une fois vos résultats validés, vous pouvez les analyser pour déterminer leur meilleure utilisation. Peut-être peuvent-ils être utilisés pour rationaliser les flux de travail ou renforcer une politique de sécurité des données qui profite à votre organisation.
• Changez les critères de classification si nécessaire : Vos critères de classification peuvent devoir être mis à jour en raison des changements commerciaux ou des nouvelles réglementations. Vous devez donc établir un processus non seulement pour découvrir et classer les nouvelles données, mais aussi pour examiner périodiquement vos critères.

Cadres de conformité pour la classification des données

Les cadres de conformité peuvent être utiles pour construire vos politiques de classification des données. Il existe plusieurs cadres de sécurité réglementaires que vous devez garder à l'esprit lors de la classification des données.

SOC 2

Les contrôles des systèmes et des organisations (SOC) 2 évaluent comment la sécurité d'une entreprise s'aligne sur les Critères des services de confiance. Ces critères comprennent la sécurité, la disponibilité, la confidentialité, l'intégrité du traitement et la confidentialité.

Ce cadre aide votre organisation à gérer les données des clients et la gestion des risques des partenaires tiers.

Bien que précieux, la mise en œuvre de SOC 2 peut être compliquée. Secureframe peut aider à simplifier votre conformité SOC 2.

HIPAA

La loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) a créé des normes pour protéger les informations de santé des patients (PHI).

Les informations de santé (PHI) sont considérées comme des données à haut risque. Les organisations de santé doivent suivre des pratiques strictes en matière de cybersécurité pour se conformer à HIPAA. Vous avez besoin de procédures pour classifier les données que vous collectez, utilisez, stockez ou transmettez.

Vous pouvez en savoir plus sur la rationalisation de votre conformité HIPAA ici.

PCI DSS

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) exige que les entreprises traitant des données de carte de crédit protègent les informations des titulaires de carte.

Contrairement aux cadres gouvernementaux, les entreprises de paiement privées (MasterCard, Visa, etc.) imposent la conformité PCI DSS.

Découvrez comment vous pouvez accélérer votre conformité PCI DSS avec Secureframe.

RGPD

Le Règlement général sur la protection des données (RGPD) protège les données des citoyens de l'Union européenne.

En vertu du RGPD, toute organisation qui traite des données personnelles d'un citoyen de l'UE doit avoir un système de classification des données. Les organisations ont également besoin d'un système pour taguer les données comme publiques, exclusives ou confidentielles.

Vous pouvez obtenir et maintenir une conformité RGPD en toute sécurité avec Secureframe — apprenez comment.

Comment Secureframe peut aider à simplifier la classification des données

Secureframe peut vous aider à mettre rapidement en place une politique de classification des données qui répond aux exigences de sécurité et de conformité applicables à votre organisation et à la maintenir à jour. En utilisant la plateforme Secureframe, vous pouvez :

• Commencez par un modèle de politique de classification des données approuvé par d'anciens auditeurs ou intégrez votre politique existante dans la plateforme
• Définissez les niveaux de classification des données au sein de cette politique
• Adaptez facilement cette politique en utilisant l'éditeur de politique complet de Secureframe avec des révisions de texte alimentées par l'IA
• Une fois finalisée, distribuez cette politique aux employés et suivez leur acceptation
• Utilisez la mise en œuvre et l'acceptation de la politique par les employés comme preuve d'adhésion aux contrôles d'entreprise et aux exigences des cadres
• Assignez un propriétaire de politique et utilisez le contrôle de version pour suivre facilement les changements et améliorer la visibilité

Pour en savoir plus sur la façon dont Secureframe peut simplifier la gestion des politiques de classification des données et d'autres aspects de la conformité, demandez une démonstration.