Créer une infrastructure de classification des données bien conçue
Au fur et à mesure que vous développez, réorganisez ou affinez votre infrastructure de classification des données, tenez compte des principales pratiques suivantes :
Ne prévoyez pas de passer de 0 à 100 le jour 1 : Microsoft recommande une approche d’analyse pas à pas, en hiérarchisant les fonctionnalités critiques pour l’organisation et en les mappant à une chronologie. Effectuez la première étape, assurez-vous qu’elle a réussi, puis passez à la phase suivante en appliquant les leçons apprises. N’oubliez pas que votre organisation peut toujours être exposée à des risques lors de la conception de votre infrastructure de classification des données. Il est donc possible de commencer petit avec seulement quelques niveaux de classification et de développer ultérieurement en fonction des besoins.
Vous ne vous contentez pas d’écrire pour les professionnels de la cybersécurité : les infrastructures de classification des données sont destinées à un large public, y compris votre membre moyen du personnel, vos équipes juridiques et de conformité, et votre équipe informatique. Il est important d’écrire des définitions claires et faciles à comprendre pour vos niveaux de classification des données, en fournissant des exemples réels autant que possible. Essayez d’éviter le jargon et d’envisager un glossaire pour les acronymes et les termes hautement techniques. Par exemple, utilisez « Informations d’identification personnelle » et fournissez une définition au lieu de simplement dire « PII ».
Les frameworks de classification des données sont destinés à être implémentés : pour que les infrastructures de classification des données réussissent, elles doivent être implémentées. Elle est particulièrement pertinente lors de l’élaboration des exigences de contrôle pour chaque niveau de classification des données. Assurez-vous que les exigences sont clairement définies et qu’elles anticipent et traitent toute ambiguïté susceptible de survenir lors de l’implémentation. Par exemple, si vous avez un contrôle sur les informations d’identification personnelle, veillez à préciser exactement ce que signifie ce contrôle, tel que la Sécurité sociale ou le numéro de passeport.
Ne devenez granulaire que si vous avez besoin de : les infrastructures de classification des données contiennent généralement entre 3 et 5 niveaux de classification des données. Mais ce n’est pas parce que vous pouvez inclure cinq niveaux que vous devez le faire. Tenez compte des critères suivants lorsque vous décidez du nombre de niveaux de classification dont vous avez besoin :
- Votre secteur et vos obligations réglementaires associées (les secteurs hautement réglementés ont tendance à avoir besoin de niveaux de classification plus élevés)
- Surcharge opérationnelle requise pour maintenir un framework plus complexe
- Vos utilisateurs et leur capacité à se conformer à la complexité et aux nuances accrues associées à des niveaux de classification plus élevés
- Expérience utilisateur et accessibilité lors de la recherche d’une classification manuelle sur plusieurs types d’appareils
Impliquer les bonnes personnes : il est essentiel de disposer d’un intervenant principal pour réussir, car de nombreux projets ont du mal à démarrer ou à prendre plus de temps sans l’adhésion de la haute direction. Les infrastructures de classification des données appartiennent généralement aux équipes informatiques, mais elles peuvent avoir des implications juridiques, de conformité, de confidentialité et de gestion des changements. Pour vous assurer que vous créez un cadre qui vous aide à protéger votre entreprise, veillez à inclure la confidentialité et les parties prenantes juridiques telles que votre directeur de la protection de la vie privée et le Bureau du conseiller général dans l’élaboration de votre politique. Si votre organisation dispose d’une division conformité, de professionnels de la gouvernance des informations ou d’une équipe de gestion des enregistrements, elle peut également avoir une contribution précieuse. Lorsque votre infrastructure est déployée dans l’entreprise, votre service Communications a également un rôle clé à jouer pour la messagerie interne et l’adoption.
Équilibrer la sécurité par rapport à la commodité : une erreur courante consiste à rédiger un framework de classification des données sécurisé mais trop restrictif. Ce framework a peut-être été conçu avec la sécurité à l’esprit, mais il est souvent difficile à mettre en œuvre dans la pratique. Si les utilisateurs doivent suivre des procédures complexes, rigides et fastidieuses pour appliquer l’infrastructure dans leur vie quotidienne, il y a toujours un risque qu’ils ne croient plus en sa valeur et cessent de suivre les procédures. Ce risque existe à tous les niveaux de l’organisation, y compris les responsables de niveau exécutif (C-suite) au sein de l’organisation. Un bon équilibre entre la sécurité et la commodité, ainsi que des outils faciles à utiliser, entraînent généralement une adoption et une utilisation plus larges des utilisateurs. S’il existe des lacunes dans votre infrastructure, n’attendez pas que tout soit parfait pour commencer l’implémentation. Au lieu de cela, évaluez le risque ou l’écart, créez un plan pour atténuer le risque et continuez d’aller de l’avant. N’oubliez pas que la protection des informations est un parcours, ce n’est pas quelque chose qui est activé du jour au lendemain, puis fait. Planifiez, implémentez certaines fonctionnalités, confirmez la réussite et effectuez une itération jusqu’à la prochaine étape à mesure que les outils évoluent et que les utilisateurs acquièrent maturité et expérience.
Gardez également à l’esprit qu’une infrastructure de classification des données traite uniquement ce que votre organisation doit faire pour protéger les données sensibles. Les infrastructures de classification des données sont souvent accompagnées de règles ou de directives de gestion des données qui définissent comment mettre en place ces stratégies du point de vue technique et technologique. Dans les sections suivantes, nous nous tournons vers des conseils pratiques sur la façon de faire passer votre infrastructure de classification des données d’un document de stratégie à une initiative entièrement implémentée et exploitable.
Points de douleur lors de la création d’une infrastructure de classification des données
Les efforts de classification des données sont par nature très étendus, touchant presque toutes les fonctions commerciales au sein d’une entreprise. En raison de cette étendue étendue et de la complexité de la gestion du contenu dans les environnements numériques modernes, les entreprises sont souvent confrontées à des difficultés pour savoir par où commencer, comment gérer une implémentation réussie et comment mesurer leur progression. Les points de douleur courants sont souvent les suivants :
- Conception d’une infrastructure de classification des données robuste et facile à comprendre, notamment la détermination des niveaux de classification et des contrôles de sécurité associés.
- Élaboration d’un plan de mise en œuvre qui inclut la confirmation de la solution technologique appropriée, l’alignement du plan sur les processus métier existants et l’identification de l’impact sur la main-d’œuvre.
- Configuration d’un framework de classification des données dans la solution technologique choisie et résolution des lacunes entre les fonctionnalités technologiques de l’outil et l’infrastructure elle-même.
- Établissement d’une structure de gouvernance qui supervise la maintenance continue et l’intégrité des efforts de classification des données.
- Identification d’indicateurs de performance clés (KPI) spécifiques pour surveiller et mesurer la progression.
- Mieux connaître et comprendre les stratégies de classification des données, pourquoi elles sont importantes et comment les respecter.
- Conformité aux révisions d’audit internes qui ciblent les contrôles de perte de données et de cybersécurité.
- Former et impliquer les utilisateurs afin qu’ils prennent conscience de la nécessité d’une classification correcte dans leur travail quotidien et appliquent les mesures de classification appropriées.
Gestion des changements et formation
Les organisations utilisent aujourd’hui des outils tels que Microsoft 365 pour implémenter leur infrastructure de classification des données. L’objectif est d’essayer d’automatiser la classification des données et non d’augmenter la charge de travail. Cette structure ne signifie pas que votre organisation n’a pas la responsabilité d’accroître la sensibilisation à la nécessité de gérer le contenu et de protéger l’organisation contre les risques abordés dans cet article. La principale pratique consiste toujours à effectuer une formation de sensibilisation au sein de l’organisation dans le cadre du calendrier annuel de formation. Notre expérience montre que la mise en place d’efforts robustes et complets pour former vos utilisateurs, qui sont le public clé qui effectue ce travail, augmente leur « adhésion » à l’effort et peut améliorer l’adoption et la qualité. L’ajout de recommandations d’étiquette et de conseils dans l’application peut amplifier ces efforts. Cette formation n’a pas besoin d’être un cours autonome complet. Votre organisation peut l’intégrer à d’autres formations régulières telles que votre formation annuelle sur la sécurité des informations, puis inclure une vue d’ensemble des niveaux de classification des données et des définitions. Le principal point est que votre personnel comprend que même si l’outil automatise la classification des données, cela n’élimine pas la responsabilité globale de chaque utilisateur de protéger les données conformément à la stratégie de votre entreprise.
En outre, vous devez envisager une formation plus approfondie pour les équipes informatiques et de sécurité des informations afin de renforcer la préparation opérationnelle. Les équipes qui gèrent l’outil et l’infrastructure de classification des données doivent se trouver sur la même page. Cette coordination peut vous obliger à investir dans un calendrier de formation plus robuste qui peut être plus fréquent que chaque année. L’investissement dans une formation plus fréquente représente une autre façon de réduire les risques pour votre organisation. Cette équipe est responsable de l’implémentation et peut donc être un point de défaillance si elle n’est pas entraînée sur l’outil et la stratégie.
Si vous devez baliser manuellement le contenu de l’outil, il est approprié de développer un groupe de super-utilisateurs qui ont reçu une formation plus avancée. Ces super utilisateurs seraient impliqués dans les situations où les utilisateurs sont tenus de baliser manuellement des documents avec des étiquettes de confidentialité des données et qu’ils auraient une compréhension approfondie de l’infrastructure de classification des données et des exigences réglementaires de votre organisation.
Enfin, votre direction doit hiérarchiser la promotion des comportements de sécurité de l’information afin de renforcer au personnel l’importance des initiatives de gestion des risques. Il s’agit notamment de développer et d’implémenter un cadre robuste de classification des données et d’affecter des leaders clés pour promouvoir l’initiative, parfois appelés ambassadeurs ou champions du changement.
Gouvernance et maintenance
Une fois que vous avez développé et implémenté votre infrastructure de classification des données, la gouvernance et la maintenance continues sont essentielles à votre réussite. En plus de suivre la façon dont les étiquettes de confidentialité sont utilisées dans la pratique, vous devez mettre à jour vos exigences de contrôle en fonction des modifications apportées aux réglementations, des pratiques de pointe en matière de cybersécurité et de la nature du contenu que vous gérez. Les efforts de gouvernance et de maintenance peuvent inclure :
- Établissement d’un organisme de gouvernance dédié à la classification des données ou ajout d’une responsabilité de classification des données à la charte d’un organisme de sécurité des informations existant.
- Définition des rôles et des responsabilités pour les utilisateurs qui supervisent la classification des données.
- Établissement d’indicateurs de performance clés pour surveiller et mesurer la progression.
- Suivi des pratiques de pointe en matière de cybersécurité et des changements réglementaires.
- Développement de procédures d’exploitation standard qui prennent en charge et appliquent un framework de classification des données.
Considérations relatives à l’industrie
Bien que les principes de base pour le développement d’une infrastructure de classification des données forte soient universels, les détails de votre infrastructure dépendent de la nature de votre secteur et des facteurs de conformité et de sécurité uniques que vos données demandent.
Par exemple, les entreprises de services financiers devront peut-être envisager de se conformer à plusieurs cadres réglementaires en fonction de l’étendue de leur activité et des régions dans lesquelles elles opèrent. Les sociétés de valeurs mobilières de l’États-Unis doivent respecter les réglementations relatives aux comptes telles que la règle SEC 17a-4(f) ou la règle 4511 de la FINRA qui traite des exigences relatives à la sécurité et à la conservation des livres et des enregistrements. De même, les entreprises opérant au Royaume-Uni doivent prendre en compte la conformité de l’AFC.
Les organismes gouvernementaux sont confrontés à diverses réglementations régissant leurs données, qui varient en fonction du territoire et de la nature de leur travail. Dans le États-Unis, par exemple, les organismes gouvernementaux et leurs agents qui accèdent à l’information fiscale fédérale (FTI) sont soumis à l’IRS 1075, qui vise à réduire le risque de perte, de violation ou d’utilisation abusive des renseignements fiscaux fédéraux.
Bien que les entreprises de services financiers et les organismes gouvernementaux soient parmi les organisations les plus réglementées au monde, la plupart des entreprises ont des considérations propres à l’industrie qui doivent être prises en compte. Voici quelques exemples :
- Les organisations du secteur de la santé s’assurent de la conformité avec HIPAA.
- Les établissements d’enseignement, des écoles de la 12e année à l’université, gèrent la conformité ferpa.
- Les fabricants de médicaments qui s’efforcent de se conformer aux directives du GxP dans leur pays ou région en matière de sécurité de l’information.
- Les médias, la vente au détail et de nombreuses autres entreprises qui s’occupent de la conformité au RGPD.
- Distribution et stockage de contenu de divertissement, de logiciels et d’informations traitant de CDSA.
- Sécurité de l’information du secteur de l’énergie conforme à la norme CIP de la NERC.
Implémentation de votre infrastructure de classification des données dans Microsoft 365
Une fois que vous avez développé votre infrastructure de classification des données, l’étape suivante est l’implémentation. Le portail de conformité Microsoft Purview permet aux administrateurs de découvrir, classifier, examiner et surveiller leurs données conformément à leur infrastructure de classification des données. Les étiquettes de confidentialité peuvent être utilisées pour protéger vos données en appliquant diverses protections telles que le chiffrement et le marquage de contenu. Elles peuvent être appliquées aux données manuellement ; par défaut, en fonction des paramètres de stratégie ; ou automatiquement, à la suite d’une condition telle que l’IIP identifiée.
Pour les petites organisations ou organisations avec un framework de classification des données relativement rationalisé, la création d’une étiquette de confidentialité unique pour chacun de vos niveaux de classification des données peut suffire. L’exemple suivant montre un niveau de classification des données un-à-un pour le mappage des étiquettes de confidentialité :
| Étiquette de classification | Étiquette de confidentialité | Paramètres d’étiquette | Publié sur |
|---|---|---|---|
| Sans restriction | Sans restriction | Appliquer un pied de page « Sans restriction » | Tous les utilisateurs |
| Généralités | Généralités | Appliquer le pied de page « Général » | Tous les utilisateurs |
Pointe
Lors d’un pilote de protection des informations internes Microsoft, il y a eu des difficultés avec la compréhension et l’utilisation de l’étiquette « Personal ». Les utilisateurs étaient confus quant à savoir si cela signifiait piI ou simplement lié à une question personnelle. L’étiquette a été remplacée par « non professionnel » pour être plus claire. Cet exemple montre que la taxonomie n’a pas besoin d’être parfaite dès le début. Commencez par ce que vous pensez être correct, pilotez-la et ajustez l’étiquette en fonction des commentaires si nécessaire
Pour les grandes organisations ayant une portée mondiale ou des besoins de sécurité des informations plus complexes, cette relation un-à-un entre le nombre de niveaux de classification dans votre stratégie et le nombre d’étiquettes de confidentialité dans votre environnement Microsoft 365 peut être un défi. Ce défi est particulièrement vrai dans les organisations mondiales où un niveau de classification de données donné tel que « Restreint » peut avoir une définition différente ou un ensemble différent de contrôles en fonction de la région.
Pour plus d’informations sur l’implémentation, consultez Comprendre la classification des données et en savoir plus sur les étiquettes de confidentialité.
References
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour