Classification des données & taxonomie des étiquettes de confidentialité
Les données sensibles présentent un risque important pour une entreprise si elles sont volées, partagées par inadvertance ou exposées par violation. Les facteurs de risque incluent les atteintes à la réputation, les répercussions financières et la perte d’avantage concurrentiel. La protection des données et des informations que votre entreprise gère est une priorité absolue pour votre organization, mais vous pouvez avoir du mal à savoir si vos efforts sont vraiment efficaces, compte tenu de la quantité de contenu détenue par votre entreprise.
En plus du volume, votre contenu peut varier en importance de très sensible et percutant à trivial et temporaire. Il peut également être sous le contrôle de diverses exigences de conformité réglementaire. Il peut être difficile de savoir ce qu’il faut hiérarchiser et où appliquer les contrôles. Lisez la suite pour en savoir plus sur la classification des données, un outil important pour protéger votre contenu contre le vol, le sabotage ou la destruction par inadvertance, et comment Microsoft 365 peut vous aider à atteindre vos objectifs de sécurité des informations.
Qu’est-ce que la classification des données ?
La classification des données est un terme spécialisé utilisé dans les domaines de la cybersécurité et de la gouvernance des informations pour décrire le processus d’identification, de catégorisation et de protection du contenu en fonction de son niveau de sensibilité ou d’impact. Dans sa forme la plus élémentaire, la classification des données est un moyen de protéger vos données contre toute divulgation, modification ou destruction non autorisée en fonction de leur sensibilité ou de leur impact.
Qu’est-ce qu’une infrastructure de classification des données ?
Souvent codifiée dans une stratégie formelle à l’échelle de l’entreprise, une infrastructure de classification des données (parfois appelée « stratégie de classification des données ») se compose généralement de 3 à 5 niveaux de classification. Ceux-ci incluent généralement trois éléments : un nom, une description et des exemples concrets. Microsoft recommande de ne pas dépasser cinq étiquettes parentes de niveau supérieur, chacune avec cinq sous-étiquettes (25 au total) pour que l’interface utilisateur reste gérable. Les niveaux sont généralement organisés du moins au plus sensible, comme Public, Interne, Confidentiel et Hautementconfidentiel. Les autres variantes de nom de niveau que vous pouvez rencontrer incluent Restricted, Unrestricted et Consumer Protected. Microsoft recommande des noms d’étiquette qui sont auto-descriptifs et qui mettent clairement en évidence leur sensibilité relative. Par exemple, Confidentiel et Restreint peuvent laisser les utilisateurs deviner quelle étiquette est appropriée, tandis que Confidentiel et Hautement confidentiel sont plus clairs sur ce qui est le plus sensible.
Le tableau suivant montre un exemple de niveau d’infrastructure de classification des données hautement confidentielles :
| Niveau de classification | Description | Exemples |
|---|---|---|
| Hautement confidentiel | Les données hautement confidentielles sont le type de données le plus sensible stocké ou géré par l’entreprise et peuvent nécessiter des notifications légales en cas de violation ou de divulgation. Les données restreintes nécessitent le niveau de contrôle et de sécurité le plus élevé, et l’accès doit être limité à la « nécessité de connaître ». |
Informations d’identification personnelle sensibles (informations personnelles sensibles) Données des titulaires de carte Informations d’intégrité protégées (PHI) Données de compte bancaire |
Conseil
Le framework de classification des données d’entreprise de Microsoft utilisait à l’origine une catégorie et une étiquette nommée « Interne » pendant la phase pilote, mais il a constaté qu’il y avait des raisons légitimes pour qu’un document soit partagé en externe et déplacé vers l’utilisation de « Général ».
Un autre composant important d’une infrastructure de classification des données est les contrôles associés à chaque niveau. Les niveaux de classification des données en eux-mêmes sont simplement des étiquettes (ou des étiquettes) qui indiquent la valeur ou la sensibilité du contenu. Pour protéger ce contenu, les frameworks de classification des données définissent les contrôles qui doivent être en place pour chacun de vos niveaux de classification des données. Ces contrôles peuvent inclure des exigences liées aux éléments suivants :
- Type et emplacement de stockage
- Chiffrement
- Contrôle d’accès
- Destruction des données
- Prévention des pertes de données
- Divulgation publique
- Journalisation et suivi de l’accès
- Autres objectifs de contrôle, selon les besoins
Vos contrôles de sécurité varient selon le niveau de classification des données, de sorte que les mesures de protection définies dans votre infrastructure augmentent en fonction de la sensibilité de votre contenu. Par exemple, vos exigences de contrôle de stockage de données varient en fonction du média utilisé ainsi que du niveau de classification appliqué à un élément de contenu donné. Le tableau suivant montre un exemple de contrôles de classification des données pour un type de stockage spécifique :
| Type de stockage | Confidentiel | Interne | Sans restriction |
|---|---|---|---|
| Stockage amovible | Interdit | Interdit, sauf s’il est chiffré | Aucun contrôle requis |
L’application correcte du bon niveau de classification des données peut être complexe dans des situations réelles et peut parfois surcharger les utilisateurs finaux. Une fois qu’une stratégie ou une norme a été créée pour définir les niveaux requis de classification des données, il est important de guider les utilisateurs finaux sur la façon de donner vie à cette infrastructure dans leur travail quotidien. C’est dans ce domaine que les règles ou recommandations de gestion de la classification des données entrent en jeu.
Les instructions de gestion de la classification des données aideront les utilisateurs finaux à fournir des conseils spécifiques sur la façon de gérer chaque niveau de données de manière appropriée, pour différents supports de stockage tout au long de leur cycle de vie. Ces instructions aident les utilisateurs finaux à appliquer correctement des règles dans la pratique, pour instance lors du partage de documents, de l’envoi d’e-mails ou de la collaboration entre différentes plateformes et organisations.
Les clients Microsoft indiquent qu’environ 50 % d’un projet Information Protection est axé sur l’entreprise plutôt que sur le plan technique, de sorte que la formation et la communication des utilisateurs finaux sont essentielles à la réussite.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour