Vous souhaitez être appelé gratuitement par un de nos conseillers ?

Nos conseillers sont disponibles du lundi au vendredi de 9h à 12h et de 14h à 18h

Merci, nos conseillers vont vous rappeler.

ESBD / La bonne étoile de vos données, sécurité informatique

📢 Modernisez vos échanges de données avec une solution Managed File Transfer

Participez à notre webinar en partenariat avec le CRIP jeudi 27 mai de 14h à 15h.

Je m'inscris vite !
Demander une démo
fr / en /
Demander une démo
fr / en /

Data Classification : Qu’est-ce que c’est et comment la mettre en œuvre ?

par Netwrix • 30 Jan 2019

Les entreprises ont limité les ressources qu’il fallait investir dans la sauvegarde de leurs données. Savoir exactement quelles données nécessitent une protection vous aidera à établir les priorités et élaborer un plan solide ; vous pourrez, alors, répartir votre budget et les autres ressources à bon escient, tout en minimisant les coûts de sécurité et de conformité. Mais quel est le meilleur endroit pour commencer ? La classification des données constitue une assise solide pour une stratégie de sécurité de données car elle permet d’identifier les zones à risques dans le réseau informatique, que ce soit sur site ou dans le Cloud.

Définition de la classification de données

La classification des données (Data classification) consiste à les organiser par catégories selon des critères convenus. Soigneusement planifiée, la classification permet l’utilisation plus efficace des données critiques et leur protection dans l’ensemble de l’entreprise ; elle participe également à la gestion des risques et des processus de connaissances légales et de conformité.

La découverte des données (Data discovery)est le processus d’analyse des référentiels de données et du rapport sur les résultats. La découverte de données peut servir à des fins multiples, par exemple, la recherche des données contenues dans l’entreprise, la gouvernance des données et l’analyse et la visualisation des données. Mais lorsqu’il est combiné avec la classification des données, il devient le processus d’identification des ressources qui pourraient contenir des informations sensibles, ce qui vous permet de prendre des décisions judicieuses sur la façon de protéger correctement ces données.

Les avantages de la classification de données

La classification des données vous aide à améliorer la sécurité des données et le respect de la réglementation :

1. Sécurité des données critiques — Pour protéger convenablement les données sensibles de l’entreprise et des clients, vous devez tout d’abord connaître et comprendre vos données. Plus précisément, vous devez être en mesure de répondre aux questions suivantes :

Les réponses à ces questions, ainsi que des informations sur l’aperçu des menaces, permettent de protéger les données sensibles en évaluant les niveaux de risque, de hiérarchiser vos initiatives et de planifier et mettre en œuvre de manière appropriée la protection des données et la détection des menaces.

2. Conformité avec les obligations réglementaires — Les normes de conformité obligent les entreprises à protéger les données spécifiques, comme les informations de détenteur de carte (PCI DSS), les dossiers de santé (HIPAA), les données financières (SOX) ou les données personnelles des résidents de l’UE (RGPD). La classification et la découverte de données vous aident à déterminer où se trouvent ces catégories de données et à vous assurer que les contrôles de sécurité appropriés sont en place et que les données sont facilement traçables et peuvent être consultées, selon les règlements en vigueur. En focalisant vos initiatives de conformité sur les données qui sont soumises aux règlementations qui vous régissent, vous augmentez vos chances de passer les audits et de maintenir la conformité au jour le jour.

Lignes directrices pour la classification des données

1. Mettez en place une politique de classification des données. Tout d’abord, vous devez définir une politique de classification des données et la communiquer à tous les employés qui travaillent avec des données sensibles. La politique doit être courte et simple et inclure les éléments de base suivants :

2. Identifiez les données sensibles. Une fois que la politique est établie, il est temps de décider si vous avez besoin d’identifier des données. Si vous choisissez de classer uniquement les nouvelles données, certaines données critiques ou sensibles que vous avez déjà peuvent être laissées insuffisamment protégées. Si ce risque est inacceptable, vous devrez investir de l’argent, du temps et des efforts pour identifier ces données et appliquer à vos données existantes vos politiques en matière de classification.

 3. Mettez en place des étiquettes. Une étape facultative consiste à attribuer à chaque ressource de données sensibles une étiquette pour améliorer la mise en œuvre de la politique de classification données. L’étiquetage peut être automatisé selon votre schéma de classification des données ou effectué manuellement par les propriétaires des données.

4. Utilisez les résultats pour améliorer la sécurité et la conformité. Une fois que vous savez quelles données sensibles vous avez et leurs emplacements de stockage, vous pouvez passer en revue vos stratégies de sécurité pour évaluer si toutes les données sont protégées par des mesures appropriées aux risques encourus. En classant toutes vos données sensibles, vous pouvez donner la priorité à vos initiatives, contrôler les coûts et améliorer les processus de gestion de données.

Exemples de catégories de classification données

Il n’y a pas de manière correcte unique pour concevoir votre modèle de classification des données et définir vos catégories de données. Par exemple, les agences du gouvernement américain définissent souvent trois types de données : Publique, Secret et Top Secret. L’OTAN a utilisé un schéma de cinq niveaux pour le projet Manhattan. Une des options consiste à commencer avec un type simple de classification des données sur trois niveaux :

Pour conclure, la classification des données n’est pas une baguette magique qui sécurise les données ou assure la conformité aux exigences réglementaires en soi. Au contraire, elle aide les entreprises à améliorer leur comportement en matière de sécurité en concentrant leurs attentions, leurs effectifs et leurs ressources financières sur les données les plus critiques pour l’entreprise. Une fois que vous avez priorisé vos risques, vous comprenez mieux comment assurer la protection appropriée des données et le respect permanent des politiques de sécurité et des règlements.

S'inscrire à la newsletter

Restez informé de l’actualité ESBD

Merci de vous être abonné(e) à notre newsletter.